推荐一款收集敏感信息插件

admin
admin
admin
0
文章
0
评论
2025-12-30 01:22:46 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文章介绍Chrome插件“雪瞳”,可动态扫描提取网页敏感信息与指纹,支持Webpack深度解析;结合案例演示用login/register切换fuzz绕过高校人脸采集登录,注册后进入含身份证、人脸的高危系统,建议纵深测试SQL注入、越权、上传等漏洞并给出安装与使用技巧。 综合评分: 82 文章分类: 安全工具,WEB安全,渗透测试,漏洞分析,红队

cover_image

推荐一款收集敏感信息插件

锐鉴安全

2025年12月29日 07:01 广东

gogo75

书站的未授权漏洞,忆校园青春阅edu证书站的未授权漏洞,忆校园青春

点击蓝字 关注我  共筑信息安全

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任!

1

背景

本次实战的案例,源于某高校的人脸采集系统,听着都感觉危害很大,因为全是敏感信息,如身份证、人脸等,拿到就是高危漏洞。从无账号到登录系统,靠的就是fuzz,详细的过程见实战过程。

2

实战过程

通过一系列的信息收集,高校的人脸采集系统引起了作者注意,为什么?因为有敏感信息。

连Hunter、Fofa都没索引到这个系统,作者靠灯塔拿到了,灯塔确实好使,关键还免费,需要的师傅可以文末获取下载链接!

系统的首页如下图,可以看到,只用一个登录按钮。

看下findsomething,也没有找到“注册”功能相关的关键字,同时也跑了下接口,并无接口未授权问题。

本次案例的关键操作来了,首先抓包观察下登录系统的数据包情况,随意输入账号密码,点击登录。

可以看到登录的数据包中有个login关键字,秉着试试的心态!

作者将login改为register,惊喜时刻,注册账号成功。

使用注册成功的账号登录系统。

可以看到获取到了身份凭证。

登录到了个人信息首页。

任意用户注册账号漏洞拿下,这个fuzz操作确实有点妙。都登录系统,肯定得把全量的功能测一遍,一般可以测试sql注入、越权、文件上传等漏洞。

co

点击蓝字 关注我  共筑信息安全

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、工具等造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任!

1

工具概述

雪瞳是一款用于检测和提取网页中敏感信息的 Chrome 浏览器扩展。帮助用户快速获取网页中的敏感信息,并进行分析和处理。

主要功能

  • 多维信息检测:实现对多种敏感信息、网站指纹的检测与分类。
  • 动态内容扫描:支持动态扫描,实时捕获由 JavaScript 动态渲染的网页信息。
  • 深度扫描技术:针对某些 JS 文件中嵌套加载其他 JS 的网站,进行深度扫描,确保信息完整性。
  • Webpack 适配:优化对 Webpack 打包的网页的 JS 搜集能力。

安装方法

1.解压下载的文件。

2.打开 Chrome/Edge 浏览器的”扩展程序”页面。

3.在页面右上角,启用 “开发者模式”。

4.点击 “加载已解压的扩展程序”,然后选择刚刚解压的源码文件夹。

5.插件将出现在您的扩展列表中,可以开始使用。

使用技巧

查看来源:鼠标悬浮在任意一条结果上,即可看到该信息的来源 URL。

复制结果:左键单击,复制信息来源的URL,即是绝对路径。右键单击,复制该条结果的内容,仅复制相对路径。

跳转链接:按住 Ctrl 并同时左键单击,可以直接在浏览器新标签页中打开来源链接。

主要功能界面

1.插件主页面

2.信息收集页面

3.指纹识别页面

4.网站解析页面

5.配置页面

期待您的关注

往期好文推荐

短信验证码高危漏洞案例,不容错过!

记一次SRC渗透测试实战

推荐!全面的资产侦察及漏洞检测工具

更新|帆软、用友、泛微、蓝凌等常见OA系统综合漏洞检测工具

渗透测试集成工具

Web渗透测试综合工具

推荐一款资产“自动化”筛选工具

Jeecg-boot最新漏洞检测工具

js.map文件还原组合工具

Fuzz参数收集工具

Java漏洞专项检测工具

免密登录某后台管理系统实战

小程序渗透测试之全站用户接管

有趣的Fuzz+BucketTool工具等于双高危!

这个站”穿”了,等同于Getshell?

Edu src证书站IOT(物联网)漏洞挖掘

下载方式:关注公众号,回复“251229”获取工具下载链接

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:锐鉴安全 《推荐一款收集敏感信息插件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0