SRC挖掘
业务支付逻辑安全案例
某度ID值爆破任意登录
社交应用越权泄露漏洞
某迅相册APP绕过XSS
某度利用上传触发XSS
泄露验证造成签约越权
小程序放包绕过人脸识别
业务逻辑绕过人脸识别
竞争并发拿下挑战赛
某B未绑定导致任意注册
时间校验机制领取VIP
某视频不安全对象引用
无回显SSRF修改利用
社交应用放包越权测回
理财支付漏洞四舍五入
某迅API分享导致重定向
吃货去改包提权超管
某云厂商社区SSRF挖掘
代金卷导致的支付错误
某鹅邮箱附件上传XSS
导出功能导致任意修改
某商城补领优惠券并发
限制购买多次创建绕过
钓鱼供应链挖掘利用
老SQL注入换思路就行
EDUSRC玩通用逻辑
企业功能从限制入手
从逆向角度玩APP测试
CNVD通用漏洞证书思路
地图Key泄露绕过利用
绕过CDN获取2高2中
首单VIP签约叠加使用
简单的JS分析未授权
冷门CORS配置出错挖掘
登录框到通用漏洞挖掘
统一系统认证挖掘点
前端校验错误直接捡洞
前端检验导致信息泄露
众测SRC测试姿势总结
细微数据包找越权撤回
AI代码审计实现自动出货
小程序资产测文件上传
爆破支付密码绕过限制
APP绕过时间过期限制
某APP逆向渗透测试总
EDU证书985泄露越权
小程序让地址校验失效
短信验证码缺陷到弱口令
JS逆向签名链到任意登录
AI拿下第一个SRC漏洞
某EDU通用系统渗透测试
盘点主流大厂SRC规则
AI自动搞定小程序审计
2026浏览器安全插件
小迪安全知识库
-
+
首页
2026浏览器安全插件
2026浏览器安全插件
#### 1. 幻影 幻影 (Phantom) 是一个专为SRC漏洞挖掘场景设计的浏览器扩展工具,旨在辅助白帽黑客在授权范围内高效挖掘潜在安全风险。该扩展通过自动化手段,对当前浏览页面及其关联资源进行智能分析,主动识别并提取可能存在的敏感信息暴露与安全线索,提升信息收集效率与覆盖广度。  #### 2. 雪瞳 雪瞳 (SnowEyes) 是一个用于检测和提取网页中敏感信息的Chrome浏览器扩展,旨在帮助用户快速获取网页中的敏感信息,并进行分析和处理。  #### 3. LoveJS LoveJS是一个帮助网络安全研究员获取页面和JS中的隐藏接口和敏感信息的浏览器插件,并且可以批量打开URL和自定义基础目录,可以帮助用户高效的进行API接口测试和漏洞挖掘。  #### 4. Shodan Shodan插件是其网站服务的便捷入口,它的核心功能是让你能快速查询当前网站所在服务器的信息,点击插件图标,它会直接告诉你当前网页服务器的IP地址、开放端口、运行的服务和软件版本、可能存在的漏洞等信息,是网络安全研究人员进行信息收集的快速通道。  #### 5. Charset Charset是一个字符编码修复工具,它的核心功能是手动纠正网页的乱码问题,当浏览器因为自动识别错误而显示乱码时,你可以通过这个插件,从右键菜单里强制指定网页使用另一种字符编码(如UTF-8、GBK)来重新渲染,从而立刻解决乱码,让页面内容恢复正常显示。  #### 6. HackBar HackBar是一个面向渗透测试者的浏览器内置工具包,它的核心功能是提供一个独立的输入栏,用于手动构造和发送HTTP请求,特别是用于测试SQL注入、XSS等Web漏洞。它提供了快速加载特定攻击载荷、对URL和数据进行各种编码(Base64、URL编码等)和解码的功能,是手工安全测试的利器。  #### 7. Proxy24 Proxy24是一个简单的浏览器代理插件,它的核心功能是让我们可以更方便地配置、管理和切换多个HTTP/HTTPS/SOCKS5代理,用户可以手动添加代理列表,并能一键切换使用不同代理访问网页,常用于网络测试、匿名访问或绕过地域限制等。  #### 8. Finger24 Finger24是一个基于已收集指纹库进行识别网站指纹的浏览器插件,目前支持Google、火狐浏览器使用,通过内置指纹库与用户自定义规则结合来进行指纹识别。  #### 9. NoScript NoScript是一个经典的、以安全为导向的权限控制浏览器插件。它的核心功能是可以默认禁止所有网站的JavaScript、Flash、Java等可执行内容运行;然后,你可以创建一个白名单,只允许你信任的网站加载脚本,这能从根本上防御绝大多数基于脚本的Web攻击,如XSS和点击劫持。  #### 10. Heimdallr Heimdallr是一个致力于被动嗅探浏览器流量的Chrome插件,用于提示漏洞框架指纹、告警拦截蜜罐请求、对抗浏览器特征追踪(浏览器持久化、WebRTC、Canvas画布等)。  #### 11. Vue Crack VueCrack是一个专为红队人员开发的浏览器插件,用于分析Vue网站的路由结构,并绕过路由守卫,从而发现站点的隐藏资产与未授权访问漏洞,已多次在攻防、SRC挖掘场景中出货。  #### 12. ThreatCheck ThreatCheck是一个实时的威胁情报查询工具,它的核心功能是让你在浏览网页时,可以随时通过划词或右键点击,查询某个文件哈希值、IP地址、域名或URL,插件会快速比对各家的威胁情报库,并告诉你这个对象是否被标记为恶意,这极大地加快了安全分析人员的情报研判流程。  #### 13. HackTools++ HackTools++是一个面向Web渗透测试和CTF(夺旗赛)的一站式工具包,它的核心功能是将大量常用工具集成在浏览器侧边栏或弹窗中,包含中继器、入侵器、解码器、扫描器、技术检测器和OWASP漏洞发现工具,包括各种编解码(Base64、URL、Hex)、加解密(AES、RSA、MD5)等。  #### 14. 上帝之眼 上帝之眼 (GodEyes) 是一个可以帮助安全研究员获取页面和JS中隐藏的接口和敏感信息的浏览器插件,集合了市面上snoweyes、lovejs等众多插件的特点功能,如信息搜集、批量打开URL、自定义基础目录、白名单设置、指纹识别、网站权重解析、cookie管理等众多功能,可以帮助用户高效的进行API接口测试和SRC漏洞挖掘。  #### #### 15. 黄油曲奇 黄油曲奇 (Butter\_Cookie) 是一个集成化渗透测试浏览器插件,专为安全测试人员和开发者设计。它提供了丰富的安全测试工具,包括信息收集、信息提取、XSS测试、SQL注入测试、端点安全扫描、云存储检测、Shodan主机信息查询以及多种辅助工具,帮助用户快速识别和评估Web应用的安全漏洞。  #### #### 16. X情报查询助手 X情报查询助手是一个便捷的威胁情报查询入口,它的核心功能是通过划词或右键,快速调用微步在线等主流威胁情报平台的API,查询你选中的IP、域名或文件哈希的威胁等级、标签、关联样本等信息,方便安全人员在分析告警时快速研判。  #### #### 17. Domain Search Domain Search是一个域名查询和信息收集工具,它的核心功能是帮助你快速查询域名的注册信息,比如所有者、注册商、创建和过期时间等。还可能集成了域名反查功能,让你可以通过一个注册人邮箱或组织名称,找出其名下注册的所有其他域名。  #### #### 18. FindSomething FindSomething是一个基于浏览器插件的被动式信息提取工具,主要用于收集网站资产和敏感信息,收集的信息包括:域名、IP/端口、网站url、网站目录、身份证、手机号、网站算法、多种Api秘钥。  #### #### 19. 玄镜 AegisScope 玄镜 (AegisScope) 是一个面向授权安全测试、SRC辅助审计和前端资产分析场景的浏览器扩展工具,插件围绕当前访问页面工作,将前端代码资产采集、网站技术嗅探、备案查询、主动指纹扫描、敏感信息泄露扫描、前端漏洞审计、API批量测试、Vue Router运行时分析和浏览器辅助能力整合到同一套工作台中。  #### #### 20. AntiDebug Breaker AntiDebug Breaker是一个基于Hook\_JS库所写的Google插件,专门用于绕过前端反调试机制的工具,将致力于辅助前端JavaScript逆向以及渗透测试信息收集。  #### #### 21. EditThisCookie (V3) EditThisCookie是一个强大且经典的Cookie管理器,它的核心功能是让你可以查看、增加、删除、修改和阻塞当前网页的所有Cookie,你可以轻松地导入导出Cookie格式的文本,一键修改过期时间,或者锁定某个Cookie值不让网站修改它,是开发和测试中必不可少的工具。  #### #### 22. WebRTC Leak Shield WebRTC Leak Shield是一个专门用于隐私保护的插件,它的核心功能就是防止WebRTC协议泄露你的真实内网和外网IP地址,在使用VPN或代理时,这个漏洞可能让你暴露,而该插件会通过修改浏览器策略或禁用相关API,从根源上关闭这个隐私泄露渠道。  23. Webpack映射提取器 Webpack\_extract是一个自动化收集js、自动化加载js、自动化分析js的浏览器扩展工具,发现存在Webpack需要读取的js文件,点击提取映射并且可以获取映射js文件,并且支持一键自动加载js、一键分析js,本工具已多次在攻防、SRC挖掘场景中出货。  24. Browser-BucketScan Browser-BucketScan是一个轻量易用的浏览器扩展工具,专为云存储桶安全检测设计,适配主流浏览器环境(摆脱 BurpSuite 版本兼容限制),可全面检测阿里云OSS、腾讯云COS、华为云OBS、AWS S3、京东云OSS、百度云BOS、火山引擎TOS七种主流云存储桶的核心安全漏洞。  25. WebSocket DevTools WebSocket DevTools是一个专业WebSocket调试插件,具备代理、模拟、阻断消息,高级调试等功能,兼容所有WebSocket实现,包括原生WebSocket API、Socket.IO和ws库,让WebSocket调试在现代Web开发工作流程中变得简单高效。  #### 26. Ctool 程序开发常用工具 Ctool是一个面向程序员的常用工具集合,它的核心功能是将开发中频繁用到的小功能整合在一起,例如JSON格式化与校验、时间戳转换、Base64/URL编解码、正则表达式测试、二维码生成、哈希计算等,免去了你反复搜索在线工具网站的麻烦。  #### #### 27. Wappalyzer - Technology profiler Wappalyzer是一个网站技术栈识别工具,它的核心功能是分析当前网页,识别并告诉你该网站是用什么技术搭建的,包括内容管理系统(CMS)、Web框架、JavaScript库、分析工具、支付网关等,并在插件图标上直接显示主要技术的logo,是技术调研和竞品分析的利器。  #### #### 28. Weak Password Dict Generator 无境剑(Weak Password Dict Generator)是一个企业弱口令字典生成浏览器插件,可以基于域名和自定义关键字自动生成企业弱口令字典,用于授权的渗透测试和安全评估。  #### #### 29. WPBurp - Weak Password Checker WPBurp是一个弱密码检测工具,它的核心功能是在浏览器端自动化地检测登录表单是否使用了常见弱口令,或者基于自定义字典对网站后台、管理面板进行简单的弱口令爆破测试。  #### #### 30. User-Agent Switcher and Manager User-Agent Switcher and Manager是一个浏览器身份伪装工具,它的核心功能是让你能够修改浏览器发送给网站的User-Agent字符串,你可以从预设的浏览器和蜘蛛UA列表中选择,也可以自定义UA字符串,并能为特定的网站设置独立的UA规则,常用于测试移动端网页或绕过某些限制。  #### #### 31. ModHeader - Modify HTTP headers ModHeader是一个HTTP请求/响应头修改工具,它的核心功能是让你能够添加、修改或删除浏览器发出的请求头和接收到的响应头,并且修改是即时生效、无需刷新的。这对于前后端联调、测试特定头部的CORS、安全策略或绕过IP限制等开发场景非常实用。  #### #### 32. Proxy SwitchyOmega 3 (ZeroOmega) ZeroOmega是SwitchyOmega的一个现代维护分支,它的核心功能是轻松管理和切换代理服务器,你可以创建多个代理配置文件(如直连、系统代理、不同的代理服务器),并根据访问的网站域名自动应用不同的代理规则,界面清晰,逻辑强大,是代理管理的标杆工具。 
xiaodi
2026年6月26日 15:30
5
0 条评论
转发
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
Markdown文件
Word文件
PDF文档
PDF文档(打印)