浏览器(Firefox and Chrome)渗透插件

前言

一款好的渗透测试浏览器插件可以大大提高我们渗透测试的效率,那么作为渗透测试人员,我们需要一些不可或缺的插件进行辅助,必须有

Firefox

HackBar V2
这款免费的hackbar插件可以快速进行SQL注入、XSS和Bypass等payload测试，支持多种编码和解码功能。安装后只需按下F12即可使用。
https://addons.mozilla.org/zh-CN/firefox/addon/hackbar-free

FoxyProxy
FoxyProxy是一个高级的代理管理工具，它完全替代了Firefox有限的代理功能。它提供比SwitchProxy、ProxyButton、 QuickProxy、xyzproxy、ProxyTex、TorButton等等更多的功能。
https://addons.mozilla.org/zh-CN/firefox/addon/foxyproxy-standard

Wappalyzer
Wappalyzer在信息收集过程中非常有用，能够分析目标网站的平台架构、网站环境、服务器配置、JavaScript框架和编程语言等参数。
https://addons.mozilla.org/zh-CN/firefox/addon/wappalyzer

Shodan
Shodan的浏览器插件可以检索Shodan.io收集的关于当前网站的数据，如IP、端口、国家城市等，采用被动式扫描，非常便捷
https://addons.mozilla.org/zh-CN/firefox/addon/shodan-addon

FOFA Pro View
FOFA的浏览器插件收集的关于当前网站的数据，如IP、端口、国家城市等，采用被动式扫描，非常便捷
https://addons.mozilla.org/zh-CN/firefox/addon/fofa-pro-view

User Agent Switcher
可以指定浏览器UA和随机浏览器UA
https://addons.mozilla.org/zh-CN/firefox/addon/uaswitcher

Firefox Multi-Account Containers
这个插件对于测试越权非常方便，cookie由容器分隔，允许你同时使用多个身份或账户在同一浏览器中使用。长按创建页面的加号即可快捷使用。
https://addons.mozilla.org/zh-CN/firefox/addon/multi-account-containers

Vulners Web Scanner
https://addons.mozilla.org/zh-CN/firefox/addon/vulners-web-scanner
基于vulners.com漏洞数据库的微型漏洞扫描器，点击START SCAN后会自动扫描中间件及其相关漏洞

Flagfox
显示描述当前服务器位置的国旗 IP等信息
https://addons.mozilla.org/zh-CN/firefox/addon/flagfox

IP Address and Domain Information
可查询whois、dns记录等
https://addons.mozilla.org/zh-CN/firefox/addon/ip-address-and-domain-info

web-scraper
Web Scraper 是一款网站数据提取工具。您可以创建网站地图，绘制网站导航方式，并从中提取数据。然后，您就可以在浏览器中运行该工具，并以 CSV 格式下载数据。
https://addons.mozilla.org/zh-CN/firefox/addon/web-scraper

simple-modify-headers
修改请求头headers
https://addons.mozilla.org/zh-CN/firefox/addon/modify-header-value

HackTools
Hacktools 是一款网络扩展工具，可帮助您进行网络应用程序渗透测试，其中包括小抄以及测试过程中使用的所有工具，如 XSS 有效载荷、反向外壳等，以测试您的网络应用程序。
https://addons.mozilla.org/zh-CN/firefox/addon/hacktools

findsomething
在网页的源代码或js中找到一些有趣的东西 信息收集利器
https://addons.mozilla.org/zh-CN/firefox/addon/findsomething

X-Forwarded-For Header
修改X-Forwarded-For
https://addons.mozilla.org/zh-CN/firefox/addon/x-forwarded-for-injector/

Quick Accept-Language Switcher
修改HTTP头的Accept-Language
https://addons.mozilla.org/zh-CN/firefox/addon/quick-accept-language-switc

superSearchPlus
superSearchPlus高效收集信息
https://addons.mozilla.org/zh-CN/firefox/addon/supersearchplus

Postwoman
这可是一个惊人的，免费、快速、漂亮的 API 测试请求工具
https://addons.mozilla.org/zh-CN/firefox/addon/postwoman

fly63工具箱
一款在线高效实用工具箱，无需客户端在线一键使用。拥有近上百款工具包括:程序员在线文档、在线转换、加密解密、站长工具、代码开发、Css样式、文本工具、二维码处理、图片处理、生活办公、娱乐工具等等。
https://addons.mozilla.org/zh-CN/firefox/addon/fly63%E5%B7%A5%E5%85%B7%E7%AE%B1

Ctool 程序开发常用工具
程序开发常用工具,哈希/加解密/编码转换/时间戳/二维码/拼音/IP查询/代码优化/Unicode/正则等...
https://addons.mozilla.org/zh-CN/firefox/addon/ctool

es-client
仿照elasticsearch head编写的es查询客户端，使用vite+vue3+ts+element-plus编写
https://addons.mozilla.org/zh-CN/firefox/addon/es-client

uBlock Origin
一款轻量级又高效的广告拦截工具。uBlock Origin 能在不消耗大量内存的情况下执行上千条过滤规则。
https://addons.mozilla.org/zh-CN/firefox/addon/ublock-origin

Decentraleyes
保护您免受集中式的内容交付网络（CDN）的跟踪。它可以拦截许多种链向 CDN 的请求，转而指向本地提供的文件，仍然保持网站功能完整。辅助常规的内容过滤规则。
https://addons.mozilla.org/zh-CN/firefox/addon/decentraleyes

DuckDuckGo Privacy Essentials
隐私保护，操作简单。当您遨游于网络时，我们的插件所提供的隐私保护功能能够让您时刻掌控个人信息安全：跟踪阻断、更智能化的加密方式、DuckDuckGo隐私保护搜索等等。
https://addons.mozilla.org/zh-CN/firefox/addon/duckduckgo-for-firefox

Privacy Badger
自动学习阻止隐形跟踪器。
https://addons.mozilla.org/zh-CN/firefox/addon/privacy-badger17

Ghostery – 隐私广告拦截工具
Ghostery 是强大的隐私保护扩展程序。拦截广告，停止跟踪器，提高网站速度。
https://addons.mozilla.org/zh-CN/firefox/addon/ghostery

NoScript 安全套件
只允许在您信任的站点运行动态内容，保护您不受 XSS 点击劫持的攻击，并免遭“幽灵”、“熔断”等 JavaScript 漏洞利用风险
https://addons.mozilla.org/zh-CN/firefox/addon/noscript

Disable WebRTC
阻止WebRTC
https://addons.mozilla.org/zh-CN/firefox/addon/happy-bonobo-disable-webrtc

WebRTC Leak Shield
Disable WebRTC and prevent IP leak.
https://addons.mozilla.org/zh-CN/firefox/addon/webrtc-leak-shield

CanvasBlocker
修改某些 JS 应用程序接口，以防止指纹识别。
https://addons.mozilla.org/zh-CN/firefox/addon/canvasblocker

Linguist - web pages translator
翻译网页，选中文本并翻译，Netflix字幕，私人信息，朗读翻译后的文本，并将重要翻译存入个人词典以学习130种语言的单词。
https://addons.mozilla.org/zh-CN/firefox/addon/linguist-translator

划词翻译
一站式划词 / 截图 / 网页全文 / 音视频 AI 翻译扩展，支持谷歌、DeepL、ChatGPT、百度等 9 个国内外主流翻译服务，均可用于全文翻译。能在 PDF 里使用。支持辅助键、快捷键、悬浮取词。
https://addons.mozilla.org/zh-CN/firefox/addon/hcfy

简约翻译
一个简约的 双语对照翻译扩展 & 油猴脚本
https://addons.mozilla.org/zh-CN/firefox/addon/kiss-translator

沉浸式翻译
【沉浸式翻译】一款免费的（原文/译文）双语对照网页翻译插件，同时支持PDF翻译（保留原文档排版），视频双语字幕翻译（Youtube, Netflix等），EPUB电子书翻译等；支持调用人工智能AI翻译大模型（OpenAI (ChatGPT)、DeepL、Gemini(Bard) 等 ）对以上内容进行更准确的翻译；
https://addons.mozilla.org/zh-CN/firefox/addon/immersive-translate

Violentmonkey 暴力猴
强力的猴油脚本
https://addons.mozilla.org/zh-CN/firefox/addon/violentmonkey

React Developer Tools
React Developer Tools 是一款允许您检查 React 树（包括组件层次结构、道具、状态等）的工具。要开始使用，只需打开 Firefox devtools 并切换到“⚛️ Components ”或“⚛️ Profiler ”选项卡即可。
https://addons.mozilla.org/zh-CN/firefox/addon/react-devtools

Vue.js devtools
用于调试 Vue.js 应用程序的 DevTools 扩展。
https://addons.mozilla.org/zh-CN/firefox/addon/vue-js-devtools

定时刷新页面和触发按钮事件
可自定义时间定时刷新当前页面，也可以自定义按钮ID定时触发该按钮点击事件，类似按键精灵效果
https://addons.mozilla.org/zh-CN/firefox/addon/%E5%AE%9A%E6%97%B6%E5%88%B7%E6%96%B0

Auto Refresh Page - 自动刷新页面
自动刷新网页。以指定的时间间隔自动刷新和页面监控。
https://addons.mozilla.org/zh-CN/firefox/addon/auto-refresh-page

ScriptCat
脚本猫,一个可以执行用户脚本的浏览器扩展,万物皆可脚本化,让你的浏览器可以做更多的事情!
https://addons.mozilla.org/zh-CN/firefox/addon/scriptcat

Cookie-Editor
Cookie 编辑器可让你高效地创建、编辑和删除当前标签页的 cookie。它是开发、快速测试甚至手动管理 cookie 以保护隐私的完美工具。
https://addons.mozilla.org/zh-CN/firefox/addon/cookie-editor

MetaMask(小狐狸钱包)
https://addons.mozilla.org/zh-CN/firefox/addon/ether-metamask

SafePal钱包
https://addons.mozilla.org/zh-CN/firefox/addon/safepal-extension-wallet/

Chrome

HackBar
这款免费的hackbar插件可以快速进行SQL注入、XSS和Bypass等payload测试，支持多种编码和解码功能。安装后只需按下F12即可使用。
https://chromewebstore.google.com/detail/hackbar/ginpbkfigcoaokgflihfhhmglmbchinc

FoxyProxy
FoxyProxy是一个高级的代理管理工具，它完全替代了Firefox有限的代理功能。它提供比SwitchProxy、ProxyButton、 QuickProxy、xyzproxy、ProxyTex、TorButton等等更多的功能。
https://chromewebstore.google.com/detail/foxyproxy/gcknhkkoolaabfmlnjonogaaifnjlfnp

SwitchyOmega 3
快速轻松地管理和切换多个代理。1. 从 Proxy SwitchyOmega 分叉 2. 适用于清单 V3 版本 3. 使用 Gist 同步选项 4. 支持自定义主题（明/暗/自动模式） 源代码：https://github.com/zero-peak/ZeroOmega
https://chromewebstore.google.com/detail/proxy-switchyomega-3-zero/pfnededegaaopdmhkdmcofjmoldfiped

Wappalyzer
Wappalyzer在信息收集过程中非常有用，能够分析目标网站的平台架构、网站环境、服务器配置、JavaScript框架和编程语言等参数。
https://chromewebstore.google.com/detail/wappalyzer-technology-pro/gppongmhjkpfnbhagpmjfkannfbllamg

Shodan
Shodan的浏览器插件可以检索Shodan.io收集的关于当前网站的数据，如IP、端口、国家城市等，采用被动式扫描，非常便捷
https://chromewebstore.google.com/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap

fofa 搜索
这是基于fofa实现的chrome浏览器插件，方便用户快速找到网站信息
https://chromewebstore.google.com/detail/fofa-search/jefdldfaoblleggicddaencogblfnodb

User-Agent Switcher and Manager
可以指定浏览器UA
https://chromewebstore.google.com/detail/user-agent-switcher-and-m/bhchdcejhohfmigjafbampogmaanbfkg

Country Flags & IP Whois
显示IP
https://chromewebstore.google.com/detail/country-flags-ip-whois/bffjckjhidlcnenenacdahhpbacpgapo

WebRank Whois Lookup
查询whois
https://chromewebstore.google.com/detail/webrank-whois-lookup/ajebiiiaphmfaiookbhpepoongjejihh

IP Whois
查询IP和whois
https://chromewebstore.google.com/detail/ip-whois/mpkpmgnjhejeodcbfaphaenpkkjdfbgo

HackTools
Hacktools 是一款网络扩展工具，可帮助您进行网络应用程序渗透测试，其中包括小抄以及测试过程中使用的所有工具，如 XSS 有效载荷、反向外壳等，以测试您的网络应用程序。
https://chromewebstore.google.com/detail/hack-tools/cmbndhnoonmghfofefkcccljbkdpamhi

simple-modify-headers
修改请求头headers
https://chromewebstore.google.com/detail/simple-modify-headers/gjgiipmpldkpbdfjkgofildhapegmmic

findsomething
在网页的源代码或js中找到一些有趣的东西 信息收集利器
https://chromewebstore.google.com/detail/findsomething/kfhniponecokdefffkpagipffdefeldb

X-Forwarded-For
修改X-Forwarded-For
https://chromewebstore.google.com/detail/x-forwarded-for-header/hkghghbnihliadkabmlcmcgmffllglin

Browser Locale Switcher
修改浏览器语言 Accept-Language
https://chromewebstore.google.com/detail/browser-locale-switcher/beniknojanbkfpoggnenhdnpjjknjjeo

superSearchPlus
superSearchPlus高效收集信息
https://github.com/dark-kingA/superSearchPlus

程序员工具
提供一站式在线工具平台，专为程序员设计，包括时间日期、JSON处理、SQL格式化、随机字符串生成、UUID生成、随机数生成、文本Hash、URL编码、文本统计与比较、常用SQL、Git、Linux命令、Markdown语法和HTTP状态码查询等功能，提升开发效率。
https://chromewebstore.google.com/detail/%E7%A8%8B%E5%BA%8F%E5%91%98%E5%B7%A5%E5%85%B7/gncbmhbdhfenefopfojjocmboflegbkh

Elasticvue
elasticsearch多节点查询工具
https://chromewebstore.google.com/detail/elasticvue/hkedbapjpblbodpgbajblpnlpenaebaa

es-client
仿照elasticsearch head编写的es查询客户端，使用vite+vue3+ts+element-plus编写
https://chromewebstore.google.com/detail/es-client/pkhmgepniefdigphghbolofjgbnhnhfd

uBlock Origin
一款轻量级又高效的广告拦截工具。uBlock Origin 能在不消耗大量内存的情况下执行上千条过滤规则。
https://chromewebstore.google.com/detail/ublock/epcnnfbjfcgphgdmggkamkmgojdagdnn

Decentraleyes
保护您免受集中式的内容交付网络（CDN）的跟踪。它可以拦截许多种链向 CDN 的请求，转而指向本地提供的文件，仍然保持网站功能完整。辅助常规的内容过滤规则。
https://chromewebstore.google.com/detail/decentraleyes/ldpochfccmkkmhdbclfhpagapcfdljkj

DuckDuckGo Privacy Essentials
隐私保护，操作简单。当您遨游于网络时，我们的插件所提供的隐私保护功能能够让您时刻掌控个人信息安全：跟踪阻断、更智能化的加密方式、DuckDuckGo隐私保护搜索等等。
https://chromewebstore.google.com/detail/duckduckgo-privacy-essent/bkdgflcldnnnapblkhphbgpggdiikppg

Privacy Badger
自动学习阻止隐形跟踪器。
https://chromewebstore.google.com/detail/privacy-badger/pkehgijcmpdhfbdbbnkijodmdjhbjlgp

Ghostery – 隐私广告拦截工具
Ghostery 是强大的隐私保护扩展程序。拦截广告，停止跟踪器，提高网站速度。
https://chromewebstore.google.com/detail/ghostery-tracker-ad-block/mlomiejdfkolichcflejclcbmpeaniij

NoScript 安全套件
只允许在您信任的站点运行动态内容，保护您不受 XSS 点击劫持的攻击，并免遭“幽灵”、“熔断”等 JavaScript 漏洞利用风险
https://chromewebstore.google.com/detail/noscript/doojmbjmlfjjnbmnoijecmcbfeoakpjm

Vytal - 欺骗时区、地理位置和区域设置
伪造时区、地理位置、区域设置和用户代理。将您的位置数据与 VPN 的 IP 地址匹配。
https://chromewebstore.google.com/detail/vytal-spoof-timezone-geol/ncbknoohfjmcfneopnfkapmkblaenokb

WebRTC 防泄漏保护
禁用 WebRTC 并防止 IP 泄露。
https://chromewebstore.google.com/detail/webrtc-leak-shield/bppamachkoflopbagkdoflbgfjflfnfl

CanvasBlocker
修改某些 JS 应用程序接口，以防止指纹识别。
https://chromewebstore.google.com/detail/canvas-blocker-fingerprin/nomnklagbgmgghhjidfhnoelnjfndfpd

划词翻译
一站式划词 / 截图 / 网页全文 / 音视频 AI 翻译扩展，支持谷歌、DeepL、ChatGPT、百度、有道等 22 个国内外主流翻译服务，且均可用于全文翻译。能在 PDF 里使用
https://chromewebstore.google.com/detail/%E5%88%92%E8%AF%8D%E7%BF%BB%E8%AF%91/ikhdkkncnoglghljlkmcimlnlhkeamad

沉浸式翻译
【沉浸式翻译】一款免费的（原文/译文）双语对照网页翻译插件，同时支持PDF翻译（保留原文档排版），视频双语字幕翻译（Youtube, Netflix等），EPUB电子书翻译等；支持调用人工智能AI翻译大模型（OpenAI (ChatGPT)、DeepL、Gemini(Bard) 等 ）对以上内容进行更准确的翻译；
https://chromewebstore.google.com/detail/immersive-translate-trans/bpoadfkcbjbfhfodiogcnhhhpibjhbnh

篡改猴
强力的猴油脚本
https://chromewebstore.google.com/detail/%E7%AF%A1%E6%94%B9%E7%8C%B4/dhdgffkkebhmkfjojejmpbldmpobfkfo?hl=zh-CN

SuperRefresh，自动刷新页面
每隔一段时间自动刷新页面，支持多任务。
https://chromewebstore.google.com/detail/superrefresh-auto-refresh/kodajckmdnamjlagjhjahccimgjanigg

自动刷新页面 - 自动重新加载页面并轻松监控页面
自动重新加载页面、监控页面并设置自定义时间间隔，实现无缝自动标签刷新和更新
https://chromewebstore.google.com/detail/auto-refresh-page-reload/aipbahhkojbhioodfbfmnobjnkagpnfg

免费自动刷新
借助众多出色功能帮助您刷新网页
https://chromewebstore.google.com/detail/free-auto-refresh/lfkfikiejjfhpfbpgfolfkkdjpepmkal

Cookie-Editor
Cookie编辑
https://chromewebstore.google.com/detail/cookie-editor/hlkenndednhfkekhgcdicdfddnkalmdm

ScriptCat
脚本猫,一个可以执行用户脚本的浏览器扩展,万物皆可脚本化,让你的浏览器可以做更多的事情!
https://chromewebstore.google.com/detail/scriptcat/ndcooeababalnlpkfedmmbbbgkljhpjf

Armor 浏览器反蜜罐插件 honeypot
蜜罐溯源这部分用到的技术主要是jsonp jsonp全称是 JSON with Padding ，是基于 JSON 格式的为解决跨域请求资源而产生的解决方案。
https://github.com/jayus0821/Armor

Chrome 蜜罐检测插件
https://github.com/iiiusky/AntiHoneypot-Chrome-simple

DHC REST Client
可模拟网络请求的一个chrome应用，反正我觉得比postman漂亮多了。
https://chrome.google.com/webstore/detail/dhc-rest-client/aejoelaoggembcahagimdiliamlcdmfm

JSON 查看器
Firefox JSON 查看器的移植
https://chromewebstore.google.com/detail/json-viewer/efknglbfhoddmmfabeihlemgekhhnabb

FeHelper(前端助手)
JSON自动格式化、手动格式化，支持排序、解码、下载等，更多功能可在配置页按需安装！
https://chromewebstore.google.com/detail/fehelper%E5%89%8D%E7%AB%AF%E5%8A%A9%E6%89%8B/pkgccpejnmalmdinmhkkfafefagiiiad

ajax-interceptor
修改ajax请求返回结果的chrome插件
https://github.com/YGYOOO/ajax-interceptor

anti-honeypot
一款可以检测WEB蜜罐并阻断请求的Chrome插件
https://github.com/cnrstar/anti-honeypot

Web Scraper
又一个神器，如果只是简单的爬取数据，不需要部署和更复杂的操作，可以使用这款插件，内置在 Chrome 控制台，直接操作 Chrome 浏览器进行爬取，不需要写一行代码，支持多种导出格式。
https://chromewebstore.google.com/detail/web-scraper-free-web-scra/jnhgnonknehpejjnehehllkliplmbmhn

ajax-tools
一个修改Ajax请求响应结果的Chrome扩展插件
https://github.com/PengChen96/ajax-tools

ApiRequest.io Ajax Capture Debugging Tool
这个是神器！！强推，可以测试网页中任何的ajax请求包括跨站ajax请求重放，官网提供了只30天的请求历史记录记得保存重要请求。
https://chromewebstore.google.com/detail/apirequestio-ajax-capture/aeojbjinmmhjenohjehcidmappiodhjm

MetaMask(小狐狸钱包)
https://chromewebstore.google.com/detail/metamask/nkbihfbeogaeaoehlefnkodbefgpgknn?hl=zh-CN

TRON 钱包
https://chromewebstore.google.com/detail/tronlink/ibnejdfjmmkpcnlpebklmnkoeoihofec?hl=zh

TokenPocket （TP钱包）
https://chromewebstore.google.com/detail/tokenpocket-web3-nostr-%E9%92%B1%E5%8C%85/mfgccjchihfkkindfppnaooecgfneiii?hl=zh-CN

欧易 Web3 钱包
https://chromewebstore.google.com/detail/%E6%AC%A7%E6%98%93-web3-%E9%92%B1%E5%8C%85/mcohilncbfahbmgdjkbpemcciiolgcge?hl=zh-CN

SafePal钱包
https://chromewebstore.google.com/detail/safepal%E6%8F%92%E4%BB%B6%E9%92%B1%E5%8C%85/lgmpcpglpngdoalbgeoldeajfclnhafa?gl=JP&hl=zh-CN