Jsmoke 🚬🚬 by Yn8rt

​ 该插件由 Yn8rt师傅 开发，插件可以理解为主动版的hae和apifinder，因为其中的大多数规则我都引用了，当你认为当前页面，以及其调用的js文件存在敏感信息的时候，可以用它来帮你打开突破口，速度很快，非常方便，也比较直观，该插件用于检测网页中的敏感信息泄露，包括但不限于 API 密钥、邮箱、手机号等。通过对当前页面的 HTML 和 JavaScript 文件进行扫描，帮助开发者及时发现潜在的安全隐患。

源地址：https://github.com/Yn8rt/Jsmoke

使用方式

先解压下载的压缩包

然后将该文件夹拖入谷歌浏览器中即可

界面预览

在访问某界面使用时打开插件，然后可以选择两中检测方式

​

当前页面检测：

深层js检测：

功能特性

• 当前页面检测：扫描当前页面的 HTML 内容，检测是否存在敏感信息泄露。

• 深层 JS 检测：分析页面引入的 JavaScript 文件，查找可能的敏感信息泄露。

支持的敏感信息类型

• API 密钥：如 api_key=xxx 或 API_KEY=xxx。
• 邮箱地址：如 user@example.com。
• 手机号：如 +86 138 0000 0000。
• 身份证号：如 身份证号：123456789012345678。
• 阿里云 AK：如 LTAIxxxxxxxxxxxx。
• 腾讯云 AK：如 AKIDxxxxxxxxxxxx。
• 百度云 AK：如 AKxxxxxxxxxxxx。
• 京东云：如 JDC_XXXXXXXXXXXXXXXX。
• 火山引擎：如 AKLTxxxxxxxxxxxx。
• 密码：如 password=xxx 或 passwd=xxx。
• 用户名：如 username=xxx 或 user=xxx。