Banyak dari kalian yang mungkin belum tahu mengenai hal ini dan artikel ini akan menjelaskan cara untuk mendapatkan Secret Key di File .js.
Berikut Tool yang akan digunakan:
- https://github.com/lc/gau
- https://github.com/projectdiscovery/nuclei
Hunting JavaScript File
Dengan bantuan Tool gau (getallurls) kita dapat mengekstraksi URL melalui AlienVault’s Open Threat Exchange, the Wayback Machine, dan Common Crawl kemudian melakukan Filter endpoint untuk JS file saja.
1
echo example.com | gau --threads 10 | cut -d"?" -f1 | grep -E "\.js(?:onp?)?$" | tee jslinks.txt
Setelah URL File .js terkumpul, selanjutnya mencari Secret Key pada File JavaScript (.js) kita menggunakan Tool nuclei dengan template yang sudah disediakan.
1
nuclei -t exposures/tokens/ -l jslinks.txt
Sebagai contoh di sini saya menemukan Secret Key yang dapat mengakses salah satu Provider untuk Service Mailer. 
Secret Key yang ditemukan bisa dapat dieksploitasi lebih lanjut.