文章总结： 本文介绍了名为VulnRadar的Chrome浏览器渗透测试扩展工具。该工具无需复杂配置即装即用，集成六大核心检测模块，涵盖JS端点发现、敏感目录扫描、DOMXSS检测及原型污染探测等功能。它能自动提取API端点、进行403绕过并捕获敏感信息，通过实时弹窗和浮动面板直观呈现结果，有效提升Web渗透测试效率。 综合评分： 65 文章分类： 安全工具,渗透测试,WEB安全

Chrome浏览器渗透利器支持原生扫描！JS 端点 + 敏感目录 + 原型污染自动化检测|VulnRadar

Zacarx Zacarx

渗透安全HackTwo

2026年2月4日 00:01 广东

0x01 工具介绍

在 Web 渗透测试中，轻量化、高效率的检测工具能大幅提升挖洞效率。今天推荐这款 Chrome 原生安全扫描神器 ——VulnRadar！作为浏览器扩展，它无需复杂配置，即装即用，完美适配渗透测试人员的即时检测需求。工具集成 6 大核心检测模块，聚焦 JS 端点发现、敏感目录扫描、DOM XSS 检测、原型污染探测等高频漏洞场景，能自动提取 API 端点、挖掘敏感路径、捕获跨域消息，还支持 403 自动绕过与敏感信息捕获。更贴心的是实时弹窗告警与浮动结果面板，扫描结果直观呈现，无需切换工具即可完成漏洞验证。无论是快速排查目标风险，还是深度挖掘隐藏漏洞，VulnRadar 都能成为渗透测试中的得力助手！

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能简介

✨ 主要特性

Chrome 原生适配，即装即用：作为浏览器扩展，无需复杂部署与配置，启用开发者模式后加载即可使用，支持手动扫描与自动扫描双模式，页面加载时自动运行指定模块，适配渗透测试即时检测需求。

6 大核心模块全覆盖：整合 JS 端点发现、敏感目录扫描、DOM XSS 检测、跨域消息追踪、原型污染探测、重定向漏洞检测，覆盖 Web 渗透高频漏洞场景，一站式满足多维度安全检测需求。

自动化漏洞挖掘能力：自动提取 JS 文件中的 API 端点并测试可访问性，扫描常见敏感路径与配置 / 备份文件，智能生成原型污染、开放重定向等测试 payload，减少人工构造成本。

敏感信息与风险精准捕获：检测 API 密钥、AWS 密钥、私钥、身份证等敏感数据，监控危险 sink 函数与跨域消息传递，识别 URL 参数中的 XSS 模式与危险协议，全方位排查数据泄露与注入风险。

实用绕过与优化机制：内置 8 种 403 绕过技术，自动解码 URL 编码 / 双重编码内容，支持端点访问超时控制与危险操作智能过滤，提升复杂场景下的检测成功率。

直观交互与结果呈现：发现漏洞时实时弹窗提醒，结果通过浮动可拖拽面板、浏览器控制台、扩展弹窗三重展示，支持 console.table () 格式化输出，便于快速查看与验证；面板支持手动调整大小，操作灵活。

轻量化高效适配：无需切换外部工具，在浏览器内完成扫描、检测、结果查看全流程，轻量化设计不占用过多系统资源，适配各类 Web 渗透测试场景。

插件截图：

0x03更新说明

1.增加wsdl,wadl接口文档提取以及测试2.优化swagger接口提取功能3.优化变异测试功能

0x04 使用介绍

📦使用指南

1. 打开 Chrome 并访问 chrome://extensions/
2. 启用右上角的”开发者模式”
3. 点击”加载下载好已解压的扩展程序”
4. 选择 bmscan 目录

手动扫描

点击扩展图标

点击任意模块的”立即测试”

在浏览器控制台查看结果

发现漏洞时会自动弹窗提醒

自动扫描模式

点击扩展图标

切换所需模块的”自动”开关

模块将在每次页面加载时自动运行

结果查看

浮动面板：结果直接显示在网页顶部的可拖拽面板中

控制台：详细信息输出到浏览器控制台

Popup 摘要：扩展弹窗中显示检测摘要

面板可调整大小：支持手动拖拽调整

#

0x05 内部VIP星球介绍-V1.4（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5112+)，包含全网一些付费扫描工具及内部原创的Burpsuite自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Zoomeye/Quake/Fofa高级会员，CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2400+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/lFN5j

👉点击了解加入–>>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260204获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.4（AI自动化工具）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2025.12专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo Zacarx Zacarx《Chrome浏览器渗透利器支持原生扫描！JS 端点 + 敏感目录 + 原型污染自动化检测|VulnRadar》