JavaScript Analysis
File JS adalah harta karun bagi bug hunter. Endpoint tersembunyi, API keys, logic aplikasi — semuanya bisa ditemukan di sini.
Cara Menemukan File JS
# Di browser: lihat tab Sources di DevTools
# Atau gunakan tools:
# katana — crawl semua URL termasuk JS
katana -u https://target.com -jc -o urls.txt
# getallurls — ambil URL dari Wayback + CommonCrawl
gau target.com | grep "\.js$" | sort -u
Yang Dicari dalam File JS
# API Endpoints tersembunyi
/api/v2/internal/users
/api/admin/dashboard
# Hardcoded credentials/keys
const API_KEY = "sk-prod-AbCdEf123456"
aws_access_key_id = "AKIA..."
# Logika bisnis yang bisa dimanipulasi
if (user.role === "admin") { ... }
if (isPremium) { showContent(); }
Tools Analisis JS
# LinkFinder — ekstrak endpoint dari JS
python3 linkfinder.py -i https://target.com/app.js -o cli
# secretfinder — cari secret/key
python3 SecretFinder.py -i https://target.com/app.js -o cli
# Beautify minified JS di browser
# DevTools → Sources → {} (Pretty print)
Regex untuk Cari Secrets
# Grep patterns berguna
grep -r "api[_-]key" *.js
grep -r "secret" *.js
grep -r "password" *.js
grep -rE "(AKIA|sk-|ghp_|xox)" *.js # AWS, OpenAI, GitHub, Slack keys
// CEK PEMAHAMAN
Tool apa yang digunakan untuk mengekstrak endpoint API tersembunyi dari file JavaScript?
ANmap
BSubfinder
CLinkFinder
Dsqlmap