VulnRadar – Web 安全扫描器-蚂蚁安全

功能特性

1. JS 端点发现

从 JavaScript 文件中提取 API 端点
并行测试端点可访问性，支持超时控制
检测敏感数据（API 密钥、令牌、密码、AWS 密钥、私钥、身份证）
分析响应类型和大小
智能过滤危险操作
403 自动绕过：8 种绕过技术
一键测试：每个接口后有测试按钮
漏洞弹窗提醒

2. 敏感目录发现

扫描常见敏感路径（Swagger、Actuator、Git 泄露等）
检测配置文件泄露（.git、.svn、.DS_Store）
发现备份文件（www.zip、backup.zip 等）
检测中间件管理页面（Tomcat、Druid、Nacos 等）
一键测试：每个路径后有测试按钮
漏洞弹窗提醒

3. DOM XSS 检测

监控危险的 sink（innerHTML、eval、document.write 等）
检测来自 URL/hash/referrer 的污染数据流
识别 URL 参数中的 XSS 模式
实时钩子和告警
漏洞弹窗提醒

4. 跨域消息追踪

监控跨域消息传递事件
捕获消息数据、来源和源
记录所有事件的时间戳

5. 原型污染检测

测试 URL 参数的原型污染漏洞
生成多种载荷变体
报告脆弱参数
漏洞弹窗提醒

6. 重定向漏洞检测

检测开放重定向漏洞（Open Redirect）
分析 URL 参数名和参数值
自动解码（URL 编码、双重编码）
识别危险协议（javascript:、data:）
生成测试 payload
漏洞弹窗提醒

安装

克隆或下载此仓库
打开 Chrome 并访问 chrome://extensions/
启用右上角的”开发者模式”
点击”加载已解压的扩展程序”
选择 bmscan 目录

使用方法

手动扫描

点击扩展图标
点击任意模块的”立即测试”
在浏览器控制台查看结果
发现漏洞时会自动弹窗提醒

自动扫描模式

点击扩展图标
切换所需模块的”自动”开关
模块将在每次页面加载时自动运行

结果查看

浮动面板：结果直接显示在网页顶部的可拖拽面板中
控制台：详细信息输出到浏览器控制台
Popup 摘要：扩展弹窗中显示检测摘要
面板可调整大小：支持手动拖拽调整

输出

所有模块使用 console.table() 输出结果，便于阅读。同时在页面顶部显示 macOS 风格的浮动结果面板。

权限

activeTab: 访问当前标签页
scripting: 注入内容脚本
storage: 保存自动扫描偏好
tabs: 监控页面加载
<all_urls>: 访问所有网站

版权声明 1、所有来源标注为蚂蚁/蚂蚁薄/蚂蚁社区的内容版权均为本站所有，若您需要引用、转载，只需要注明来源及原文链接即可。
2、本站所提供的文章资讯、软件资源、素材源码等内容均为作者提供、网友推荐、互联网整理而来（部分报媒/平媒内容转载自网络合作媒体），仅供学习参考，如有侵犯您的版权，请联系我们，本站将在三个工作日内改正。
3、若您的网站或机构从本站获取的一切资源进行商业使用，除来源为本站的资料需与本站协商外，其他资源请自行联系版权所有人。
4、蚂蚁薄不保证资源的准确性、安全性和完整性，请您在阅读、下载及使用过程中自行确认，本站不承担上述资源对您或您的终端造成的任何形式的损失或伤害。
5、互联网的本质是自由与分享，我们真诚的希望，每一份有价值的正能量能够在互联网中自由传播，能够为每一个安全从业人员提供动力。

THE END