19个方便渗透测试的Chrome扩展_chrome插件前端元素扫描-CSDN博客

Google Chrome是目前世界上最流行的浏览器之一，简洁的界面让他俘获了许多用户，除此之外还具有许多改善浏览体验的功能。与Firefox一样，Chrome也支持插件，称之为“扩展”，这些扩展程序极大地拓展了Chrome的公呢个。数千个扩展程序让我们可以直接在浏览器中执行花样繁多的功能，而不需要安装独立的软件。在这篇文章中，我们将介绍19项好用的安全扩展来把Chrome变成一个安全测试工具。

笔者收集的这些渗透测试扩展程序都可以在Chrome应用商店中免费下载，少数可能需要到官方站点下载。

面向渗透测试人员的Chrome扩展

1. Web Developer（网页开发者）

本扩展会在Chrome中添加一个具有丰富功能的工具条，用户可以用他们分析Web前端的HTML和Javascript等。

（主页君补充：这个工具需要添加？Chrome不是自带F12么……）

安装地址：https://chrome.google.com/webstore/detail/web-developer/bfbameneiokkgbdmiekhjnmfkcnldhhm

2. Firebug Lite for Google Chrome （Firebug精简版）

（主页注：Firebug是Firefox下的一款神级插件，几乎是WEB前端开发者必备的工具。针对非Firefox浏览器，他们还提供了精简版。不过在功能上绝对不如Firefox下的。）

本扩展提供了一个丰富的可视化环境来分析HTML元素，DOM元素，盒模型等，还有值得一提的CSS即时编辑功能。本工具可以分析WEB应用在客户端的行为。

安装地址：https://chrome.google.com/webstore/detail/firebug-lite-for-google-c/bmagokdooijbeehmkpknfglimnifench

3. d3coder （decoder，解码器）

这项扩展将添加一个右键菜单，方便渗透测试人员按照指定格式编码/解码文本。它支持的编解码格式有：

时间戳解码
rot13编解码
base64 编解码
CRC32 哈希值计算
MD5 哈希值计算
SHA1 哈希值计算
二进制转十六进制
二进制转文本
HTML实体编解码
HTML特殊字符编解码
URI 编解码
可打印字符引用编码
Escapeshellarg (php内置函数)
Unserialize (php内置函数)
L33T 编解码
反转字符串

安装地址：https://chrome.google.com/webstore/detail/d3coder/gncnbkghencmkfgeepfaonmegemakcol?hl=en-US

4. Site Spider（网站爬虫）

这个扩展将会检测所有的页面并报告所有损坏的链接。你还可以添加正则表达式规则来限制爬虫检测的范围，添加认证信息来访问受限制的页面。本扩展还是开源的（主页君吐槽：所有的Chrome扩展都是加签名的zip压缩文件，直接解压那个crx就是源代码了），可以根据需要定制。

安装地址：https://chrome.google.com/webstore/detail/site-spider/ddlodfbcplakmddhdlffebcggbbighda

5. Form Fuzzer （表单模糊测试[1]）

本扩展会在表单中填充预定义的字符到不同的域中，并且支持单选框、复选框、下拉框的选择。你可以用这个工具快速地把Payload填入表单中，对于执行XSS和SQL注入测试非常有用。

安装地址：https://chrome.google.com/webstore/detail/form-fuzzer/cbpplldpcdcfejdaldmnfhlodoadjhii

6. Session Manager （会话管理器）

提供保存、更新、恢复和删除一组标签页的功能。你可以创建一个内容相近的标签组，一次单击便可以打开全部。

（主页君吐槽：为什么不直接把这些页面放到一个书签文件夹，中键点开即可……）

安装地址：https://chrome.google.com/webstore/detail/session-manager/mghenlmbmjcpehccoangkdpagbcbkdpc

7. Request Maker （HTTP请求标识工具）

这个工具与Burp的功能非常像，可以创建和捕获HTTP请求，篡改请求URL，在请求中添加新的头部信息（HTTP Header）。它可以捕获表单和XMLHttpRequests创建的请求。利用这个工具可以执行一些基于HTTP请求的攻击。

（主页君吐槽：还是自带F12就有的功能，自己体会去~如果要玩大的，强烈推荐用Python写脚本，强可定制）

8. Proxy SwitchySharp

一个代理服务器管理插件，可以快速的切换代理设置。它还支持根据网址自动切换代理，允许导入导出数据。开启代理之后，我们可以利用代理服务器隐藏自己的IP地址。

（Firefox下有个类似的Elite Proxy Switcher）

安装地址：https://chrome.google.com/webstore/detail/proxy-switchysharp/dpplabbmogkhghncfbfdeeokoefdjegm/details

9. Cookie Editor （cookies编辑器）

cookies是网站在浏览器端保存用户信息的最主要方式。本扩展让修改cookie变得非常简单，可以删除、编辑、添加和查找cookies，这对基于cookie的SQL注入和会话劫持非常有用（不过主页君还是推荐直接在javascript控制台里面写代码来做这些事）。本扩展内置广告，所有的广告收入都将捐给联合国儿童基金会。你可以在扩展设定中禁用广告。

安装地址：https://chrome.google.com/webstore/detail/edit-this-cookie/fngmhnnpilhplaeedifhccceomclgfbg

10. Cache Killer（缓存克星）

本扩展可以在刷新页面之前自动清空缓存，只要鼠标单击即可快速启用。禁用缓存后可以方便的观察网站实时的情况，对WEB前端开发者非常有用（妈妈再也不用在URL后面加上随机数来强制刷新了！）

安装地址：https://chrome.google.com/webstore/detail/cache-killer/jpfbieopdmepaolggioebjmedmclkbap

11. XSS Rays（跨站之光）

一个快速查找跨站脚本漏洞（XSS）的扩展，还支持注入检测。你可以轻松地解压，查看和编辑表单，即使表单设置了不可编辑。许多渗透测试人员使用这个扩展作为专门的XSS检测工具。点此查看更多介绍

安装地址：https://chrome.google.com/webstore/detail/xss-rays/kkopfbcgaebdaklghbnfmjeeonmabidj

12. WebSecurify （网络安全）

这是一个强大的跨平台网络安全测试工具，支持多种桌面操作系统，移动平台和浏览器。这是第一个直接在浏览器中运行的WEB安全检测工具。它支持XSS、XSRF、CSRF、SQL注入、文件上传、URL重定向等安全漏洞。程序内置了爬虫扫描器，尝试遍历页面并找出里面存在的安全问题。不过他并不是一个全自动的工具，它将会列出可能具有漏洞的地址，你需要自行确认漏洞是否存在。在扫描过程中，所有的特征数据都是放在云端的，所以你不需要担心数据库是否为最新版本，这个漏洞检测引擎将会保证实时更新。

安装地址：https://chrome.google.com/webstore/detail/websecurify/gbecpbaknodhccppnfndfmjifmonefdm

13. Port Scanner（端口扫描）

端口扫描，渗透攻击中很常见的一个手法，不必多说了吧？你可以使用这个扩展来扫描当前开放的TCP端口，支持IP和域名地址。这个扩展还有支持Opera和Firefox浏览器的版本。

安装地址：https://chrome.google.com/webstore/detail/port-scanner/jicgaglejpnmiodpgjidiofpjmfmlgjo

14. XSS chef（跨站厨子）

一个流行的XSS检测工具，与BeEF类似，但是是基于浏览器的。它可以执行以下任务：