文章总结： VulnRadar是一款专为Web安全渗透测试设计的Chrome扩展。该工具集成了JS端点发现与403绕过、敏感目录扫描、DOMXSS检测、原型污染及重定向漏洞检测等六大模块。它支持实时监控弹窗提醒与一键测试接口，能显著提升安全人员对浏览器端漏洞的自动化发现与测试效率。 综合评分： 65 文章分类： 安全工具,WEB安全,渗透测试,红队,漏洞分析

VulnRadar – Web 安全扫描器

Zacarx Zacarx

贝雷帽SEC

2026年2月2日 11:00 广东

免责声明

本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。

工具介绍

VulnRadar 一款Chrome 扩展，用于 Web 安全渗透测试，包含六个检测模块。

1. JS 端点发现

• 从 JavaScript 文件中提取 API 端点

• 并行测试端点可访问性，支持超时控制

• 检测敏感数据（API 密钥、令牌、密码、AWS 密钥、私钥、身份证）

• 分析响应类型和大小

• 智能过滤危险操作

• 403 自动绕过

  ：8 种绕过技术

• 一键测试

  ：每个接口后有测试按钮

• 漏洞弹窗提醒

2. 敏感目录发现

• 扫描常见敏感路径（Swagger、Actuator、Git 泄露等）

• 检测配置文件泄露（.git、.svn、.DS_Store）

• 发现备份文件（www.zip、backup.zip 等）

• 检测中间件管理页面（Tomcat、Druid、Nacos 等）

• 一键测试

  ：每个路径后有测试按钮

• 漏洞弹窗提醒

3. DOM XSS 检测

• 监控危险的 sink（innerHTML、eval、document.write 等）
• 检测来自 URL/hash/referrer 的污染数据流
• 识别 URL 参数中的 XSS 模式
• 实时钩子和告警
• 漏洞弹窗提醒

4. 跨域消息追踪

• 监控跨域消息传递事件
• 捕获消息数据、来源和源
• 记录所有事件的时间戳

5. 原型污染检测

• 测试 URL 参数的原型污染漏洞
• 生成多种载荷变体
• 报告脆弱参数
• 漏洞弹窗提醒

6. 重定向漏洞检测

• 检测开放重定向漏洞（Open Redirect）
• 分析 URL 参数名和参数值
• 自动解码（URL 编码、双重编码）
• 识别危险协议（javascript:、data:）
• 生成测试 payload
• 漏洞弹窗提醒

工具使用

1、克隆或下载此仓库2、打开 Chrome 并访问 chrome://extensions/3、启用右上角的"开发者模式"4、点击"加载已解压的扩展程序"5、选择 bmscan 目录

下载链接

https://github.com/Zacarx/VulnRadar

End

“点赞、在看与分享都是莫大的支持”

工具精选

【红队】一款安全测试工具集——Onyx

【红队】一款 AI 原生安全测试平台

【红队】Webshell 管理与后渗透平台

【红队】BProxy – 多级 SOCKS5 代理工具

【红队】攻击面管理平台 (ASM)

【红队】ParrotOS 7.0 正式发布 代号：Echo

【红队】一款专为红队打造的主动资产指纹识别工具

【蓝队】SamWaf开源轻量级网站防火墙

[蓝队] FastMonitor – 网络流量监控与威胁检测工具

【蓝队】漏洞全生命周期管理平台

【蓝队】蓝队Ark神器 OpenArk v1.5.0

【红队】矛·盾 武器库 v3.2

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：贝雷帽SEC Zacarx Zacarx《VulnRadar – Web 安全扫描器》