Information Advanced JavaScript Security Analyzer
Morgan adalah alat/tools keamanan canggih yang dirancang
untuk membantu pengembang, profesional keamanan,
dan penguji penetrasi mengidentifikasi dan menganalisis data sensitif
yang terekspos dalam file JavaScript yang tertanam di situs web.
Alat ini menyediakan solusi otomatis untuk mendeteksi kunci API,
token autentikasi, kredensial akses, kunci pribadi, dan informasi sensitif lainnya
yang mungkin tidak sengaja terekspos dalam JavaScript sisi klien.
Dalam aplikasi web modern, file JavaScript sering kali tidak hanya
berisi fungsionalitas tetapi juga data konfigurasi, kredensial sensitif,
dan kunci yang dapat dieksploitasi jika bocor.
Morgan menganalisis file JavaScript untuk mengungkap risiko keamanan
tersembunyi ini, memastikan bahwa situs web atau aplikasi web tidak secara
tidak sengaja mengekspos data sensitif kepada pengguna
yang tidak berwenang.
Alat ini melakukan pemindaian mendalam dengan memeriksa konten
file JavaScript menggunakan pencocokan pola, analisis entropi,
dan deteksi pengaburan.
Fitur Utama, Deteksi Berbasis Pola
Morgan menggunakan berbagai pola ekspresi reguler
yang telah ditetapkan sebelumnya untuk mendeteksi data sensitif
yang tertanam dalam file JavaScript.
Ini termasuk tetapi tidak terbatas pada,
- Kunci & Token API: Mendeteksi pola umum untuk kunci API, token OAuth,
string koneksi basis data, dan kredensial penyedia cloud
(misalnya, AWS, GitHub, Slack, Stripe).
- Kunci Pribadi: Mendeteksi berbagai jenis kunci pribadi,
termasuk kunci pribadi SSH, RSA, dan EC.
- Kredensial: Mengidentifikasi kata sandi, nama pengguna, ID sesi,
dan bentuk kredensial sensitif lainnya yang potensial.
- URL & Alamat IP: Menemukan URL dan alamat IP yang mungkin
menunjukkan titik akhir sensitif atau sumber daya internal
yang terekspos secara tidak sengaja.
Pola-pola ini dapat disesuaikan, yang memungkinkan pengguna
untuk menambahkan atau mengubah pola regex agar sesuai dengan
kasus penggunaan tertentu atau mengidentifikasi
format data sensitif milik sendiri.
Penggunaan Morgan
dirancang untuk dijalankan dari baris perintah, menyediakan antarmuka
yang mudah untuk memulai pemindaian.
Pengguna dapat memindai satu situs web atau daftar URL
dan mengonfigurasi berbagai opsi untuk menyesuaikan pemindaian
dengan kebutuhan mereka. Alat ini menyediakan hasil terperinci,
mencantumkan informasi sensitif yang terdeteksi beserta berkas
JavaScript atau URL terkait tempat data ditemukan.
Berikut adalah contoh skenario penggunaan umum,
$ git clone https://github.com/VFA250/Morgan$ cd Morgan$ pip install -r requirements.txt$ python Morgan.py
$ python Morgan.py https://example.com --download --timeout 10 --filter "API Key" --entropy 5$ python3 Morgan.py https://example.com --download --timeout 10 --filter "API Key" --entropy 5
Perintah ini akan,
- Memindai https://example.com.
- Mengunduh semua file JavaScript yang ditemukan.
- Menetapkan batas waktu 10 detik untuk setiap permintaan.
- Memfilter hasil untuk hanya menampilkan temuan "Kunci API".
- Menetapkan ambang entropi 5 untuk mendeteksi string entropi tinggi.
Contoh Video
Source repository [Morgan]
0 Comments