0x01 工具介绍
在 Web 渗透测试中,轻量化、高效率的检测工具能大幅提升挖洞效率。今天推荐这款 Chrome 原生安全扫描神器 ------VulnRadar!作为浏览器扩展,它无需复杂配置,即装即用,完美适配渗透测试人员的即时检测需求。工具集成 6 大核心检测模块,聚焦 JS 端点发现、敏感目录扫描、DOM XSS 检测、原型污染探测等高频场景,能自动提取 API 端点、挖掘敏感路径、捕获跨域消息,还支持 403 自动绕过与敏感信息捕获。更贴心的是实时弹窗告警与浮动结果面板,扫描结果直观呈现,无需切换工具即可完成验证。无论是快速排查目标风险,还是深度挖掘隐藏,VulnRadar 都能成为渗透测试中的得力助手!
注意:现在只对常读和星标的才展示大图推送,建议大家把渗透安全HackTwo "设为 星标**⭐️****** "否 则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能简介
✨ 主要特性
Chrome 原生适配,即装即用:作为浏览器扩展,无需复杂部署与配置,启用开发者模式后加载即可使用,支持手动扫描与自动扫描双模式,页面加载时自动运行指定模块,适配渗透测试即时检测需求。
6 大核心模块全覆盖:整合 JS 端点发现、敏感目录扫描、DOM XSS 检测、跨域消息追踪、原型污染探测、重定向检测,覆盖 Web 渗透高频场景,一站式满足多维度安全检测需求。
自动化挖掘能力:自动提取 JS 文件中的 API 端点并测试可访问性,扫描常见敏感路径与配置 / 备份文件,智能生成原型污染、开放重定向等测试 payload,减少人工构造成本。
敏感信息与风险精准捕获:检测 API 密钥、AWS 密钥、私钥、身份证等敏感数据,监控危险 sink 函数与跨域消息传递,识别 URL 参数中的 XSS 模式与危险协议,全方位排查数据泄露与注入风险。
实用绕过与优化机制:内置 8 种 403 绕过技术,自动解码 URL 编码 / 双重编码内容,支持端点访问超时控制与危险操作智能过滤,提升复杂场景下的检测成功率。
直观交互与结果呈现:发现时实时弹窗提醒,结果通过浮动可拖拽面板、浏览器控制台、扩展弹窗三重展示,支持 console.table () 格式化输出,便于快速查看与验证;面板支持手动调整大小,操作灵活。
轻量化高效适配:无需切换外部工具,在浏览器内完成扫描、检测、结果查看全流程,轻量化设计不占用过多系统资源,适配各类 Web 渗透测试场景。
插件截图:
0x03更新说明
1.增加wsdl,wadl接口文档提取以及测试2.优化swagger接口提取功能3.优化变异测试功能0x04 使用介绍
📦使用指南
-
打开 Chrome 并访问
chrome://extensions/ -
启用右上角的"开发者模式"
-
点击"加载下载好已解压的扩展程序"
-
选择
bmscan目录
手动扫描
点击扩展图标
点击任意模块的"立即测试"
在浏览器控制台查看结果
发现时会自动弹窗提醒
自动扫描模式
点击扩展图标
切换所需模块的"自动"开关
模块将在每次页面加载时自动运行
结果查看
浮动面板:结果直接显示在网页顶部的可拖拽面板中
控制台:详细信息输出到浏览器控制台
Popup 摘要:扩展弹窗中显示检测摘要
面板可调整大小:支持手动拖拽调整
下载
去渗透安全HackTwo-回复20260204获取下载