在工作之余看到此篇文章,之前没有了解过js逆向,更没有了解到webpack打包
且这篇帖子附上了爬取脚本,拿过来
import requests
import re
result = set()#创建的是集合来去重
with open('js.txt','r') as file:
for line in file:
line = line.strip()
r = requests.get('https://xxx.xxx.com/static/js/'+line,verify=False)#加载所有js文件
#print(r.text)
data = re.findall(r'url: "(.*?)"', r.text)#正则表达式来匹配所有接口
print(data)
for url in data:
result.add(url)#将结果添加到集合当中
list = []
#这里是统一前面添加斜杠,因为有的奇葩网站有的接口前面有/,有的没有
for url in result:
if not url.startswith('/'):
url = '/'+result
list.append(url)
#将结果导出到99999.txt
with open('99999.txt','a') as output_file:
for url in list:
output_file.write(url+'\n')
src漏洞挖掘篇之前端接口爬取测试思路 - FreeBuf网络安全行业门户https://www.freebuf.com/articles/web/384529.html效果图
问题一:如何识别此网站是用webpack网站打包?
类似于:n:["xxx"]
可以大概知道是webpack打包的js代码
问题二:js逆向是什么?
JS逆向之webpack打包网站实战_webpack逆向-CSDN博客
js逆向——webpack扣法_webpack逆向_sin_0119的博客-CSDN博客