浏览器插件分享
分享几款日常使用较多的浏览器插件和一些常用于渗透测试的浏览器插件
更多好玩的插件请查看:Chrome插件英雄榜
日常使用
Ctool 程序开发常用工具
程序日常开发常用小工具集合,提供文本处理/哈希/加解密/编码转换/时间戳/二维码/拼音/IP查询/代码优化/Unicode/正则等多种工具
下载地址:
Ctool 程序开发常用工具
Surfingkeys
下载地址:
https://microsoftedge.microsoft.com/addons/detail/surfingkeys/kgnghhfkloifoabeaobjkgagcecbnppg
扩展管理器(Extension Manager)
下载地址:
https://chrome.google.com/webstore/detail/extension-manager/gjldcdngmdknpinoemndlidpcabkggco
OneTab Extension
下载地址:
https://microsoftedge.microsoft.com/addons/detail/onetab-extension/kgimkccmplbmlalhblhncbecfgijcigm
清除历史记录和Web缓存
下载地址:
https://microsoftedge.microsoft.com/addons/detail/clear-history-web-cache/ojilnhojiihncgjnnpphppnmflflhbcg
AdBlock插件
这是一款参考各种广告过滤插件开发的功能全面的免费开源广告过滤工具,可以过滤掉网页上的大部分广告:浮动广告,购物广告,恶意弹窗,跟踪代码,这款插件适用于过滤国内网站的广告,国外网站的广告建议使用AdBlock插件。
简悦 - SimpRead
让你瞬间进入沉浸式阅读的 Edge 扩展,类似 Safari 的阅读模式。
下载地址
简悦 - SimpRead - Microsoft Edge Addons
沙拉查词-聚合词典划词翻译
Saladict 沙拉查词是一款专业划词翻译扩展,为交叉阅读而生。大量权威词典涵盖中英日韩法德西语,支持复杂的划词操作、网页翻译、生词本与 PDF 浏览。
Tampermonkey
懂的都懂
脚本推荐:
谷歌上网助手
这是一款专门为科研、外贸、跨境电商、海淘人员、开发人员服务的上网加速工具,Chrome内核浏览器专用,可以解决Chrome扩展无法自动更新问题,一键安装,无需其他配置即可访问以下服务,但是会与“Proxy SwitchyOmega”这类代理插件冲突。
- Google搜索:https://www.google.com
- Gmail邮箱:https://mail.google.com
- Chrome商店访问以及Google+等服务等。
类似的网站 - 发现相关网站
立即发现与您当前正在浏览的网站类似的网站。
下载地址:
类似的网站 - 发现相关网站 - Chrome 网上应用店 (google.com)
百度文库免费下载
这是一款百度文档免下载券下载文档的插件,可以导出PDF文字和图片,能屏蔽文档中的广告,支持Word、PPT、PDF文档,只要能试读的页面都能下载到,能分页下载完整的文档,非常稳定可靠
下载地址:
百度文库免费下载 - Chrome 网上应用店 (google.com)
Desktop Messenger for Telegram
这是一款非官方开发和维护的Telegram Web客户端插件,可直接通过点击插件图标来进行登录和收发信息,有好友发送信息时也会有消息通知。
下载地址:
Desktop Messenger for Telegram™ - Chrome 网上应用店 (google.com)
信息收集
FindSomething
该工具用于快速在网页的html源码或js代码中提取一些有趣的信息,包括可能请求的资源、接口的url,可能请求的ip和域名,泄漏的证件号、手机号、邮箱等信息。
下载地址:
FindSomething
Shodan
这个插件可以自动探测当前网站所属的国家、城市,解析 IP 地址以及开放的服务和端口,包括但不限于 FTP、DNS、SSH 或者其他服务等,属被动信息搜集中的一种。
下载地址:
Shodan - Chrome 网上应用店
Wappalyzer
这个插件可用于指纹识别,能够检测出当前网站使用的 Web 框架和 CMS、CDN、统计、中间件、编程语言以及 JavaScript 框架和库等等相关信息。
下载地址:
Wappalyzer - Chrome 网上应用店
FOFA Pro View
这个插件比 Shodan 搜集到的信息更全,能够检测出当前网站的托管位置(国家 / 地区 / 城市)、组织、ASN、端口、协议和相关资产等信息。
项目地址:https : //github.com/fofapro/fofa_view
下载地址:
FOFA Pro View - Chrome 网上应用店
IP, DNS & Security Tools
这个插件是直接调用 https://hackertarget.com 官网接口来进行查询的,如果长时间不出查询结果时可能就得上 “墙” 了,可查询的信息包括有:IP、路由、DNS、Whios、指纹、HTTP 头、同服等。
IP Address and Domain Information
下载地址:
https://chrome.google.com/webstore/detail/ip-address-and-domain-inf/lhgkegeccnckoiliokondpaaalbhafoa
x情报查询助手
X情报社区出品的情报查询插件,帮助您在高强度的情报查询中发现可疑信息。
下载地址:
x情报查询助手
红雨滴情报助手
红雨滴情报助手(RedDrip Intelligence Assistant)是奇安信威胁情报中心(QI-ANXIN Threat Intelligence Center)开发,方便用户查询威胁情报、快速识别判定威胁风险的谷歌浏览器插件服务。
下载地址:
红雨滴情报助手
anti-honeypot
用来检测 WEB 蜜罐并中断请求,能够识别并中断长亭 D-sensor 和墨安幻阵的部分溯源 API。
项目地址:https://github.com/Ar3h/anti-honeypot
隐私獾
隐私獾保护您在浏览网页时免受跟踪。大部分网站都植入第三方跟踪器,在未经允许情况下跟踪您访问过哪些页面,又停留多久。如果您安装隐私獾,许多跟踪器将被阻止。尽管隐私獾能够减少大量跟踪Cookie并且屏蔽其它跟踪器,但这并非万灵药。您可以将隐私獾配合其它浏览器附加元件使用,比如:uBlock Origin、CanvasBlocker、HTTPS Everywhere、ClearURLs与Decentraleyes。
下载地址:
隐私獾
改包发包
HackBar
这个插件可用于常见编码 / 解码、POST/Cookies 数据提交、SQL/XSS/LFI/XXE 漏洞测试、自定义 Referer/User-Agent 等,是一款不可多得的渗透测试人员必备插件,虽然现在作者已经收费了,但还是能够绕过其限制的。
下载地址:
https://chrome.google.com/webstore/detail/hackbar/ginpbkfigcoaokgflihfhhmglmbchinc
DenisPodgurskii/pentestkit
下载地址:
https://github.com/DenisPodgurskii/pentestkit
Penetration Testing Kit
下载地址:
https://chrome.google.com/webstore/detail/penetration-testing-kit/ojkchikaholjmcnefhjlbohackpeeknd
HTTP Header Live
这个插件可用于捕获网页中加载的全部网页流量数据包,并且支持编辑和重发,就是 UI 差了点,大部分的同类插件都只能查看,不能编辑和重放。
辅助工具
Hack-Tools
payload快速生成,编码解码
下载地址:
d3coder - Chrome 网上应用店 (google.com)
d3coder
这个插件可用于各种类型的编码和解码,例如 URI、Hex、Base64,Rot13 或 Unix 时间戳等编码之间的相互转换。
下载地址:
d3coder - Chrome 网上应用店 (google.com)
Set Character Encoding
这个插件可用来修改当前浏览器的编码,当浏览器编码与网页编码不一致时就会出现乱码的情况,最后吐槽一下这个新版谷歌浏览器的编码设置是真不好找。
Set Character Encoding - Chrome 网上应用店 (google.com)
Charset - Chrome 网上应用店 (google.com)
EditThisCookie
这个插件可以帮助我们轻松管理谷歌浏览器上的各种 Cookies,支持添加,删除,编辑,搜索,锁定、屏蔽、保护和拦截 Cookies!
下载地址:
EditThisCookie - Chrome 网上应用店 (google.com)
Cookie-Editor - Chrome 网上应用店 (google.com)
X-Forwarded-For Header
请求ip伪造
下载地址:
X-Forwarded-For Header - Chrome 网上应用店 (google.com)
Proxy SwitchyOmega
这个插件可以帮助我们快速管理和切换多个代理设置,支持的代理协议有:HTTP/HTTPS、Socks4/Socks5,这也是一款渗透测试人员(抓包、上 “墙”)必备插件,谷歌上网助手插件也具备这样的代理设置功能。
下载地址:
Proxy SwitchyOmega - Chrome 网上应用店 (google.com)
User-Agent Switcher
这个插件可用来模拟指定 User-Agent 去访问网站,有的开发人员在编写代码过程中会设置仅允许移动端 User-Agent 访问,一些做黑帽 SEO 的也经常使用这种方式来限制 PC 端访问。这款插件在 Chrome 网上应用商店中已经下架了,有需要的可以找我。
下载地址:
User-Agent Switcher for Chrome - Chrome 网上应用店 (google.com)
NoScript
这个插件可用于禁止浏览器加载和解析 JS 代码,也可以通过以下两种方式禁止执行 JS,常见应用场景有:禁用 JS 后台越权、禁用 JS 白名单上传等。
- Firefox:about:config->javascript.enabled
- Chorme:chrome://settings/content/javascript
下载地址:
NoScript - Chrome 网上应用店 (google.com)
JWT Debugger
JWT Debugger 是一款可以编码、验证和生成JWT的开发工具,官方提供了调试工具,我们可以很方便的看到JWT token各个组成部分解码后的信息,以及是否能验证成功。
下载地址:
JWT Debugger - Chrome 网上应用店 (google.com)
漏洞利用
Elasticvue
Elasticsearch 服务未授权访问漏洞进行利用