JS Analyzer, siber güvenlik uzmanları ve sızma testi uzmanları için geliştirilmiş, Burp Suite'e entegre çalışan güçlü bir JavaScript statik analiz eklentisidir. Jensec tarafından oluşturulan bu araç, JavaScript dosyalarından API uç noktalarını, URL'leri, hassas sırları (API anahtarları, token'lar) ve e-posta adreslerini akıllı gürültü filtreleme mekanizmalarıyla çıkarmayı hedefler. Temel amacı, gereksiz bilgileri en aza indirerek tespitlerin doğruluğunu artırmaktır.
Eklenti, çeşitli kritik bilgileri otomatik olarak tespit eder: API yolları, REST uç noktaları, OAuth URL'leri ve yönetici rotaları gibi endpoint'ler; AWS S3, Azure ve GCP gibi bulut depolama URL'leri dahil olmak üzere tam URL'ler; AWS, Stripe, GitHub, Slack token'ları ve JWT gibi çeşitli API anahtarları ve kimlik bilgileri. Ayrıca, .sql, .csv, .bak, .env gibi hassas dosya referanslarını da belirleyebilir. Akıllı filtreleme özelliği sayesinde XML ad alanları, modül içe aktarmaları ve derleme yapıları gibi gürültü kaynakları otomatik olarak elenir.
JS Analyzer, her bulgunun hangi JavaScript dosyasından geldiğini gösteren kaynak takibi, gerçek zamanlı sonuç filtreleme için canlı arama, bulguları panoya kopyalama ve tüm sonuçları JSON dosyası olarak dışa aktarma gibi kullanışlı özellikler sunar. Kurulumu Jython JAR'ı Burp Suite'e ekleyip js_analyzer.py dosyasını seçerek kolayca yapılır. Kullanıcılar, Burp Proxy geçmişindeki veya Site haritasındaki JavaScript yanıtlarını sağ tıklayarak analiz edebilir veya birden fazla isteği aynı anda işleyebilir. Bu sayede, web uygulamalarındaki gizli zafiyetleri ve hassas bilgileri ortaya çıkarmak için değerli bir kaynak haline gelmektedir.
Bu araç, web uygulamalarındaki gizli API uç noktalarını, hassas kimlik bilgilerini ve diğer kritik bilgileri otomatik olarak tespit ederek sızma testlerinin verimliliğini ve kapsamını artırır.