文章总结： VueCrack是一款红队浏览器插件，用于检测Vue站点未授权漏洞。它通过自动检测框架、清除路由守卫及修改鉴权字段，绕过前端权限检查以提取并访问隐藏资产。该工具源于实战需求并已验证有效，能显著提升渗透测试与SRC挖掘效率。 综合评分： 65 文章分类： 安全工具,红队,WEB安全,渗透测试,SRC活动

【工具分享】VueCrack-检测VUE站点未授权漏洞

观止安全 观止安全

观止安全

2026年1月28日 19:10 安徽

免责声明：本公众号所发的内容仅供学习用途使用，由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责！如有侵权，烦请告知，我们会立即删除！观止安全拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

下载地址：

https://github.com/Ad1euDa1e/VueCrack

工具简介：

这是一个专为红队人员开发的浏览器插件，用于分析Vue框架网站的路由结构，并绕过路由守卫，从而发现站点的隐藏资产与未授权访问漏洞

一、开发背景：

• 本工具源于实际攻防中的需求，在对使用VUE框架的站点进行测试时，我们发现大量VUE站点绕过前端路由后，可以未授权访问站点页面，本插件简化了手动测试步骤，提高红队行动效率

• ## 本工具已多次在攻防、SRC挖掘场景中出货

二、核心功能：

• 自动检测Vue框架：快速识别目标站点是否使用Vue.js

• 绕过路由守卫：自动清除路由守卫，允许访问受保护路由

• 修改鉴权字段：自动修改路由元信息中的auth字段，绕过前端权限检查

• 路由结构分析：提取所有路由路径，包括可能隐藏的管理页面

• 批量操作：支持一键复制和访问所有发现的路由

三、使用方法：

1. 在 Chrome 或基于 Chromium 的浏览器中安装此扩展
2. 访问基于 Vue.js 的网站
3. 点击扩展图标，工具将显示所有可能的 URL 路径
4. 使用生成的 URL 列表，尝试访问目标站点的受限页面
5. 利用 “打开” 按钮直接导航到可能的未授权页面

四、技术实现：

• 多重检测引擎：使用多种策略检测Vue及Router实例

• 守卫清除机制：通过修改Router原型方法清除beforeEach等路由守卫

• 权限标志修改：递归遍历路由树，修改所有auth相关字段

• 内存路由提取：直接从内存中获取完整路由表，包括隐藏路由

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：观止安全 观止安全 观止安全《【工具分享】VueCrack-检测VUE站点未授权漏洞》