Доброго вечора, друзі)Постійно питають шото за пайтой - ти же автоматизуєшь - так я пишу на пайтоне але для себе, спрошую для себе мануальну роботу) Так ось пару днів назад побачив прикольну штуку на пайтон - думаю буде вам корисно) Що я маю вам сказать)Є один дуже цікавий і недооцінений тул - Pinkertonhttps://github.com/0xdsm/PinkertonЦе інструмент, який шукає секрети прямо у фронтенді:API keys, токени, паролі, auth-штуки, які випадково (або не дуже) потрапили в JavaScript.Це не “хакинг заради хакингу”.Це нормальний технічний тул, який показує:чи не світяться у вас в JS файлах речі, які взагалі не мали туди потрапити.По суті як воно працює: тул проходиться по сайту і парсить JS файли а потім шукає патерни ключів, токенів, конфігів і показує конкретно: що, де і в якому файлі. Без “може”, без гадання.Ну поставити просто як і завжди)git clone https://github.com/0xdsm/Pinkerton.gitcd Pinkertonpip3 install -r requirements.txtpython3 main.py -u https://example.com І далі ви вже бачите, що реально лежить у публічних скриптах.Для КУА це прям сильна штука:ви починаєте дивитись на фронт не тільки як на UI,а як на потенційну поверхню витоку.Особливо актуально для: SPA/ Web-клієнтів / API, які викликаються з браузера/ проєктів, де “ключ просто для фронта” (спойлер: так не буває)Важливий момент: свої проєкти, тестові середовища ну або з офіційним дозволомякщо ви тестуєте web / API і ще не дивились, що реально лежить у JS -👀Всім гарного дня)Обняв 🤗