Chrome浏览器渗透利器支持原生扫描!JS 端点 + 敏感目录 + 原型污染自动化检测|VulnRadar

0x01 工具介绍

在 Web 渗透测试中,轻量化、高效率的检测工具能大幅提升挖洞效率。今天推荐这款 Chrome 原生安全扫描神器 ------VulnRadar!作为浏览器扩展,它无需复杂配置,即装即用,完美适配渗透测试人员的即时检测需求。工具集成 6 大核心检测模块,聚焦 JS 端点发现、敏感目录扫描、DOM XSS 检测、原型污染探测等高频场景,能自动提取 API 端点、挖掘敏感路径、捕获跨域消息,还支持 403 自动绕过与敏感信息捕获。更贴心的是实时弹窗告警与浮动结果面板,扫描结果直观呈现,无需切换工具即可完成验证。无论是快速排查目标风险,还是深度挖掘隐藏,VulnRadar 都能成为渗透测试中的得力助手!

注意:现在只对常读和星标的才展示大图推送,建议大家把渗透安全HackTwo "设为 星标**⭐️****** " 则可能就看不到了啦!

下载地址在末尾 #渗透安全HackTwo

0x02 功能简介

✨ 主要特性

Chrome 原生适配,即装即用:作为浏览器扩展,无需复杂部署与配置,启用开发者模式后加载即可使用,支持手动扫描与自动扫描双模式,页面加载时自动运行指定模块,适配渗透测试即时检测需求。

6 大核心模块全覆盖:整合 JS 端点发现、敏感目录扫描、DOM XSS 检测、跨域消息追踪、原型污染探测、重定向检测,覆盖 Web 渗透高频场景,一站式满足多维度安全检测需求。

自动化挖掘能力:自动提取 JS 文件中的 API 端点并测试可访问性,扫描常见敏感路径与配置 / 备份文件,智能生成原型污染、开放重定向等测试 payload,减少人工构造成本。

敏感信息与风险精准捕获:检测 API 密钥、AWS 密钥、私钥、身份证等敏感数据,监控危险 sink 函数与跨域消息传递,识别 URL 参数中的 XSS 模式与危险协议,全方位排查数据泄露与注入风险。

实用绕过与优化机制:内置 8 种 403 绕过技术,自动解码 URL 编码 / 双重编码内容,支持端点访问超时控制与危险操作智能过滤,提升复杂场景下的检测成功率。

直观交互与结果呈现:发现时实时弹窗提醒,结果通过浮动可拖拽面板、浏览器控制台、扩展弹窗三重展示,支持 console.table () 格式化输出,便于快速查看与验证;面板支持手动调整大小,操作灵活。

轻量化高效适配:无需切换外部工具,在浏览器内完成扫描、检测、结果查看全流程,轻量化设计不占用过多系统资源,适配各类 Web 渗透测试场景。

插件截图:

0x03更新说明

复制代码
1.增加wsdl,wadl接口文档提取以及测试2.优化swagger接口提取功能3.优化变异测试功能

0x04 使用介绍

📦使用指南

  1. 打开 Chrome 并访问 chrome://extensions/

  2. 启用右上角的"开发者模式"

  3. 点击"加载下载好已解压的扩展程序"

  4. 选择 bmscan 目录

手动扫描

点击扩展图标

点击任意模块的"立即测试"

在浏览器控制台查看结果

发现时会自动弹窗提醒

自动扫描模式

点击扩展图标

切换所需模块的"自动"开关

模块将在每次页面加载时自动运行

结果查看

浮动面板:结果直接显示在网页顶部的可拖拽面板中

控制台:详细信息输出到浏览器控制台

Popup 摘要:扩展弹窗中显示检测摘要

面板可调整大小:支持手动拖拽调整

下载

去渗透安全HackTwo-回复20260204获取下载

相关推荐
胡萝卜术8 小时前
从API调用到手写LRU:力扣146「LRU缓存」的哈希表+双向链表终极进化之路
前端·javascript·面试
科技道人8 小时前
记录 默认置灰/禁用 app ‘Search Engine Selector‘ 的disable按钮
开发语言·前端·javascript
QYR-分析9 小时前
机器人安全控制器行业高速扩容 本土替代迎来全新发展窗口期
人工智能·安全·机器人
IpdataCloud10 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
其实防守也摸鱼10 小时前
运维--学习阶段问题解答(1)(自测)
linux·运维·服务器·数据库·学习·自动化·命令模式
GJGCY11 小时前
财务智能体落地实践:RPA、大模型与规则引擎如何构建业财自动化闭环?
经验分享·ai·自动化·财务·智能体
零零信安12 小时前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
shuaijie051813 小时前
强制修改调用接口的api地址。
javascript·vue.js·ecmascript
JerrySir13 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳13 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动