安利一波渗透测试中常用的谷歌插件，妈妈再也不用担心我收集不全信息了

Wappalyzer是一款功能强大的、且非常实用的chrome网站技术分析插件，通过该插件能够分析目标网站所采用的平台构架、

网站环境、服务器配置环境、JavaScript框架、编程语言等参数，使用时很简单，开启你要分析、检测的网页后，点选该图示即可看到网站使用的相关技术和服务

 

HackTools 是一个有助于您的Web 应用程序渗透测试的 Web 扩展，它包括备忘单以及测试期间使用的所有工具，例如 XSS 有效负载、反向 shell 等等。动态反向Shell生成器（PHP、Bash、Ruby、Python、Perl、Netcat）

 

当前功能

• Shell生成（TTYShell生成）
• XSS漏洞Payload
• 基础SQL注入漏洞Payload
• 本地文件包含漏洞Payload（LFI）
• Base64编码器/解码器
• 哈希生成器（MD5、SHA1、SHA256、SHA512）
• 集成各种实用的Linux命令（端口转发、SUID）
• RSSFeed（漏洞利用数据库和Cisco安全建议）
• CVE漏洞搜索引擎
• 从远程机器上过滤和下载数据的各种方法

下载地址

　　

 

Shodan Chrome插件可以自动探测网站所属的国家、城市，谁是这个网站IP的主人以及其开放的服务和端口，包括FTP、DNS、SSH或者其他非主流服务。

 

 

Proxy SwitchyOmega 是一款非常优秀的浏览器插件，适用于 Chrome 和 Firefox，它可以轻松快捷地管理和切换 IP 代理，用户可以自定义切换规则，自由畅游互联网的海洋。

 

 

EditThisCookie是一个cookie管理器。您可以添加，删除，编辑，搜索，锁定和屏蔽cookies

★ 编辑cookies

★ 删除cookies

★ 添加一个新的cookie

★ 创建cookies

★ 搜索cookies

★ 保护cookies (只读cookies)

★ 拦截cookies (cookie 过滤器)

★ 导出cookies为JSON, Netscape cookie 文档 (非常适合wget及curl), Perl::LPW

★ 导入JSON格式cookies

★ 限制任何cookie的最大有效期

★ 改进性能，移除旧的cookies

★ 导入cookies.txt

 

 

收集敏感信息中经常会获取 JSON 数据，我们希望能直接在谷歌浏览器里显示出格式化后的 JSON 数据，可以增加 JSON 的可读性。JSONView 插件可以实现这个功能。

 

 

hackbar就是一种便于渗透测试人员开展SQL注入、XSS、CSRF等测试工作的必备工具。

下面对这些功能进行一个简单说明。

Load URL：复制地址栏中的地址。

Split URL：剪切地址。

Execute：执行HackBar中的网址。

Encyption：四种加密方式。

Encoding：三种编码方式。

SQL：提供一些方便查询的语句。

xss：提供一些XSS攻击语句。

Post data：以post的方式提交数据

 

 

编码/解码插件，用于各种类型的编码，如 base64、rot13 或 unix 时间戳转换

 

 

轻轻一点，即可从网站的任何位置查找该网站域名下的电子邮件地址，社工必备！

 

 

XPath Helper是一款专用于chrome内核浏览器的实用型爬虫网页解析工具

 

 

有些时候我们可以从html或js这些前端文件的注释代码中找到一些测试的突破点, 而这个插件可以将当前页面相关联的js文件中的注释信息统一匹配出来显示, 更快速更全面.

 

 

该工具用于快速在网页的html源码或js代码中提取一些有趣的信息，包括可能请求的资源、接口的url，可能请求的ip和域名，泄漏的证件号、手机号、邮箱等信息。

 

 

个人感觉偏向渗透前的踩点，单纯的依靠这个完成信息收集也不现实，但是能在资产上有个大概的认识。另外，这个也比shodan的插件提供的信息更多

 

 

一款可以检测WEB蜜罐并阻断请求的Chrome插件，能够识别并阻断长亭D-sensor、墨安幻阵的部分溯源api

　　

作为一款完全免费的在线登录密码显示工具，Show Password 插件支持对 Chrome 浏览器里的密码输入框里已保存的密码进行查看，使用密码输入框进行登录时，并且也可以对正在输入的密码进行显示。

 

最后分享一款第三方谷歌扩展商店，不开代理即可访问