1. 始めに
こんにちは、morioka12 です。
本稿では、バグバウンティの脆弱性調査で使われている JavaScript ファイルの監視ツールについて少し紹介します。
免責事項
本稿の内容は、セキュリティに関する知見を広く共有する目的で執筆されており、悪用行為を推奨するものではありません。
2. バグバウンティにおける JavaScript ファイルの監視
バグバウンティにおいて、対象ドメインで動く JavaScript ファイルはとても重要なものです。
JavaScript Files are a gold mine for bug bounty hunters.
JavaScript ファイルは、バグバウンティハンターに取って金鉱である。(金が含んでいる鉱脈や鉱山)
一般的なバグバウンティハンターは、インターネット上で動く Web サイトや Web アプリケーションを対象に脆弱性調査を行う際に、偵察として JavaScript ファイルを収集したり解析したりします。
多くの初心者のバグバウンティハンターは、JavaScript ファイルの偵察や解析を疎かにすることがあり、 API のエンドポイントやパラメーターを見逃している可能性があります。
JavaScript ファイルを念入りに調査や解析をすることで、隠れたエンドポイントやパラメーター、DOM などを列挙することができ、隅々まで調査するために役立つことがよくあります。
さらに、優れたバグバウンティハンターは、特に大企業や大規模なプロダクトに対して JavaScript ファイルの監視を行っていることがあります。
JavaScript ファイルを監視することで、以下のようなメリットがあります。
- 新しく実装された新機能をいち早く確認することができる。
- 怪しい挙動がある既存の機能が変更された際に、いち早く検知して検証することができる。
- 大規模なプロダクトに対して、新しいエンドポイントやパラメーターを見逃すリスクを減らすことができる。
- 更新された JavaScript のコードの差分を記録し、実装の理解を深めて実際の挙動の調査に役立たせることができる。
- 新しく追加された JavaScript ファイルやコードに対して、いち早くハードコードされた機密情報がないかを検知することができる。
バグバウンティにおいて、一番初めに脆弱性を発見して報告した者のみが報酬金を獲得できるため、早い者勝ちという特徴あります。
そのため、このような JavaScript の監視は、有効的に有利になる場合があります。
ただし、JavaScript ファイルの監視には確認する負担があるため、主に報酬金の高い大企業や大きなプロダクト、お気に入りのバグバウンティプログラムの対象であるドメインに対して、ドメインを設定して Discord や Slack などに随時通知されるようにしているバグバウンティハンターが多い印象です。
3. JavaScript ファイルの監視ツール
JSWatch
JSWatch は、軽量で効率的な JavaScript ファイル監視ツールで、インターネット上の JavaScript ファイルの変更を追跡します。
stdout に書き出される markdown フォーマットで自動的に diff 生成を提供します。
DiffScript
DiffScript は、指定したウェブサイト上の JavaScript ファイルの変更を監視するために設計された Python スクリプトです。
JS ファイルの新旧バージョンを比較し、新しいエンドポイントを特定し、変更があれば Telegram メッセージング経由で警告を発します。
このスクリプトは、Webサイトで使用されている JavaScript の更新や変更を追跡する必要がある Web 開発者やセキュリティ研究者にとって特に便利です。
URL Tracker
URL Tracker は、URL を監視・追跡し、変更をログに記録し、様々なウェブリソースの状態と動作に関する詳細な洞察を提供するために設計された、堅牢でスケーラブルなウェブアプリケーションです。
Sails.js の上に構築されたこのアプリケーションは、アップタイム、コンテンツ変更、パフォーマンス監視のために URL を追跡するのに最適です。
JSMon
このスクリプトを使うことで、監視したいウェブサイトの JavaScript ファイルをいくつも設定できます。
このスクリプトを実行するたびに、これらのファイルがフェッチされ、以前にフェッチされたバージョンと比較されます。
ファイルが変更された場合、スクリプトへのリンク、変更されたファイルサイズ、変更を簡単に検査するための差分ファイルを含むメッセージが Telegram 経由で通知されます。
jsmon.sh
このツールは、すべての JS URL を自動的に追跡し、メール、Discord、または Slack 経由でレポートを送信します。
24時間365日の JS クロール、自動脅威検知、リアルタイム監視でお客様のドメインを保護します。
高度な保護ソリューションにより、安全性を維持し、脆弱性を検出し、中断のないパフォーマンスを保証します。
🚀Today onwards, you can monitor 1 domain for JS changes for free at https://t.co/10muV7aCT8. It tracks all JS URLs automatically and sends reports via Email, Discord, or Slack.
— encodedguy - jsmon.sh (@3nc0d3dGuY) February 3, 2025
We've removed the 1-week limit on the free plan—you can now monitor 1 domain indefinitely. The free… pic.twitter.com/dIrt1AehhY
BLACKBIRD
創設者による JS file を調査や監視する理由
JS Files are a gold mine for bug bounty hunters if you haven't noticed yet plus they're easy to examine & monitor (if you know how to)
— 0xblackbird (@0xblackbird) March 2, 2024
Here's why should and how
Small thread 👇 pic.twitter.com/yp4kwxkj9R
4. その他
Monitoring JS files to know first about new features feat.
Testing JavaScript files for bug bounty hunters
Blog「バグバウンティ入門(始め方)」
Blog「バグバウンティにおける JavaScript の静的解析と動的解析まとめ」
5. 終わりに
本稿では、バグバウンティの脆弱性調査で使われている JavaScript ファイルの監視ツールについて少し紹介しました。
ぜひ、外部視点であるバグハンターの一つのアプローチとして参考にしてみてください。
ここまでお読みいただきありがとうございました。
