JSHunter Burp — Burp Suite用のJavaScriptシークレット検出拡張機能
概要
JSHunter Burpは、Burp Suiteの拡張として動作する自動化ツールで、HTTPトラフィックからJavaScriptファイルのURLを検出し、それらをTruffleHogでスキャンして秘密情報(APIキー、トークン、パスワードなど)を発見すると、設定されたDiscordのWebhookへ即時に通知します。本拡張はペネトレーションテストやセキュリティ監査に役立ち、手動でJSを追いかける手間を省き、スキャンの自動化とリアルタイム通知を組み合わせて素早く脆弱性候補を把握できます(約300字)。
リポジトリの統計情報
- スター数: 9
- フォーク数: 1
- ウォッチャー数: 9
- コミット数: 17
- ファイル数: 8
- メインの言語: Python
主な特徴
- HTTPトラフィックを監視してJavaScriptファイルのURLを自動検出
- TruffleHogを用いたシークレット(秘密情報)スキャンの自動実行
- スキャン結果をDiscord Webhookへリアルタイム送信
- Burp Suiteワークフローにシームレスに組み込める設計
技術的なポイント
JSHunter BurpはPythonで実装されており、Burp Suiteの拡張としてHTTPプロキシの流れを監視することでJavaScriptファイルのURL抽出を行います。URL検出はHTTP応答やHTMLソース内のscriptタグ、外部スクリプトへのリダイレクトなどをパターンマッチで見つけ出す方式が想定され、検出後は対象JSを取得してTruffleHogに渡してシークレット検出を行います。TruffleHogは秘密情報のパターン検出に強く、正規表現やエンコーディング解除を含む多様な検査でAPIキーやトークンの痕跡を洗い出します。
実装面では、Burpのイベントリスナー(HTTPリクエスト/レスポンス)にフックして非同期的にJSをキューイングし、スキャン処理をバックグラウンドで行うことでBurpの応答性を保つ設計が望ましいです。結果はDiscordのWebhookを介してJSONペイロードで送信し、検出箇所のURL、該当文字列、スコアやトリガールールなどのメタ情報を付与して可視化します。運用上の注意点としては、JSの収集・外部送信に伴うプライバシーや法的リスク、TruffleHogの誤検出(false positives)への対処、Webhookのレート制限や認証管理があります。拡張は設定ファイルやUIでスキャンの閾値や除外ルール、Webhook先を柔軟に変更できることが有用で、将来的には追加の解析プラグインやSIEM連携が考えられます(約700字)。
プロジェクトの構成
主要なファイルとディレクトリ:
- .gitignore: file
- INSTALLATION.md: file
- LICENSE: file
- README.md: file
- RELEASE_NOTES.md: file
…他 3 ファイル
まとめ
Burp上でJavaScriptのシークレット検出を自動化し、発見を即時に通知する実用的な拡張。導入で作業効率が大きく向上します(約50字)。
リポジトリ情報:
- 名前: jshunter-burp
- 説明: A powerful Burp Suite extension that automatically detects JavaScript URLs from HTTP traffic, scans them using TruffleHog for secrets detection, and sends findings to Discord webhooks in real-time.
- スター数: 9
- 言語: Python
- URL: https://github.com/iamunixtz/jshunter-burp
- オーナー: iamunixtz
- アバター: https://avatars.githubusercontent.com/u/152855414?v=4
READMEの抜粋:
JSHunter Burp Suite Extension
A powerful Burp Suite extension that automatically detects JavaScript URLs from HTTP traffic, scans them using TruffleHog for secrets detection, and sends findings to Discord webhooks in real-time.
Features
- Automatic JavaScript URL Detection: Monitors HTTP traffic and automatically identifies JavaScript files
- **TruffleH…