JS文件与html代码、css样式等文件一致做为前端开发文件，是可以利用电脑浏览器浏览到的，相应于html代码和css样式等文件的展现和装饰作用，JS文件可能可以将网页的功能模块点开展提升。

针对渗透测试而言 ，JS文件不单单是可以寻找某些网页地址、局域网网络ip、手机号码、启用的模块版本号等信息内容，还存有某些接口，由于前端开发须要，因此某些接口可能在JS文件中立即或隐性展现。下边我将详细介绍怎样发觉这种掩藏的接口。

1、最先在某一网页中，鼠标点击，挑选查验假如你请求的JS文件信息都叠在了前两行得话，下边这一键可以帮你装饰导出,web页面沒有策略的情况下，可以融合微信小程序、APP软件来开展渗透。微信小程序或APP软件的服务器端实际上可以在相应水平上与web应用的服务器端相关联。换句话说，我们在微信小程序或是APP软件上，同样可以挖掘web页面的漏洞如SQL注入、跨站脚本攻击等，而且相对而言，这种等服务器端安全防范措施会相应沒有那样完善，因此在web页面的确沒有策略的情况下，可以曲折渗透，从小程序、APP软件中开展。在JS文件中，可以尤其留意含有api字眼的文件或信息，比如下边文档我的新发现1个接口。之上便是我个人挖掘SRC的某些信息收集策略，挖掘SRC有的情况下确实很碰运气，或许他人对1个接口简单Fuzz，便出了1个注入，而大家花了几日，或是一直见到返回信息为404。因此有的情况下确实可以换一个站试一下，或许就挖出高危乃至比较严重了～

作为一名SRC新手，以上内容均为小兄弟愚见，期待可以利用本文，帮到大量的网络安全新手，未能帮到大佬们确实对不起～事后也会不断提升自己，将学习到的大量的东西分享给大家。