引言

我在随意浏览一个公共教育网站时，意外发现了一个包含敏感内部数据的JavaScript文件。起初我以为这只是个残留的调试脚本，但继续翻阅后情况变得愈发有趣（也令人担忧）。

文件中包含硬编码的密钥、CI/CD详细信息、内部仓库链接、真实员工的电子邮箱地址，甚至还有Slack和Teams等内部通讯工具的引用。所有这些本不应公开的数据却都能被公开访问。

本文将带你了解我是如何发现这些数据的、暴露了哪些类型的信息，以及为什么这类情况比人们意识到的更为常见（且危险）。有时你会在JS文件中发现看似无害的信息，本文将帮助你学会识别真正机密的内容，并解释为何值得保持警惕。

侦察：如何偶然发现？

这次侦察开始时与往常无异。我在为一家知名公司枚举子域名时，发现了一个看起来有点不对劲的域名——没什么大问题，只是略显过时且有些奇怪（笑）。

（以下内容需注册会员方可阅读完整版本）