文章总结： 玄镜AegisScope是一款基于Chrome扩展ManifestV3架构的前端安全审计工具，支持自动采集JavaScript源码、SourceMap等代码资产，并具备敏感信息泄露扫描与漏洞审计功能。工具通过规则引擎检测云凭证、API密钥等风险数据，提供Vue路由分析和API批量测试能力，可生成结构化报告用于授权安全测试场景。 综合评分： 78 文章分类： 安全工具,WEB安全,代码审计,漏洞分析,应用安全

浏览器扩展安全审计工具天花板：玄镜 AegisScope 一站式解决前端代码资产采集、敏感信息泄露扫描与漏洞挖掘

棉花糖糖糖 棉花糖糖糖

棉花糖网络安全工具箱

2026年4月30日 11:02 四川

在小说阅读器读本章

去阅读

安全提示：该工具仅适用于授权安全测试与合法审计场景，使用前请确保已获得充分授权。

玄镜 AegisScope 是一款面向前端安全测试领域的浏览器扩展工具，基于 Chrome 扩展 Manifest V3 架构开发。工具针对当前页面上下文中的前端代码资产进行深度采集与多维度分析，涵盖 JavaScript 源码、SourceMap、打包产物、运行时接口线索等核心资产类型。

重点导读核心架构

PART 01技术栈

• Chrome 扩展 Manifest V3
• 前端框架组件（Vue Router 运行时分析）
• 正则规则引擎
• 网络请求监控

PART 02模块划分

| 模块 | 文件 | 功能 | | — | — | — | | 主弹窗 | popup.js | 代码资产列表、打包下载 | | 泄露扫描 | scan.js | 敏感信息检测 | | 漏洞审计 | vuln-scan.js | 源码审计、API 测试 | | Vue 工具 | vue-tools.js | Vue Router 运行时分析 | | 规则引擎 | rules.js | 安全扫描规则库 | | 分析器 | analyzer.js | 规则执行、去重、聚合 | | 后台脚本 | background.js | 网络脚本资源记录 | | 内容脚本 | content.js | 页面脚本资产采集 |

重点导读功能特性

PART 03代码资产采集

• 外链脚本与内联脚本自动采集
• HTML 页面同步采集
• SourceMap 文件识别与解析
• 运行时 chunk 动态发现
• 同源资源上下文读取
• 代码类资源 ZIP 打包下载

PART 04泄露扫描

检测范围

• 云厂商凭证：AWS、阿里云、腾讯云、Google Cloud、Azure、华为 OBS/OSS
• 平台 Token：GitHub、GitLab、Slack、Discord、npm、Docker、Shopify、Cloudflare、Vercel、Netlify
• API Key 与请求头凭证：Bearer Token、Basic Auth、Authorization Token、X-API-Key、Session/Cookie Token
• 个人敏感信息：邮箱、手机号、身份证号、银行卡号、公网 IP、内网 IP
• Webhook 端点：Slack、Discord、企业微信、钉钉、飞书
• 加密风险：硬编码密钥、AES ECB、DES/3DES、RC4、MD5/SHA1 不安全用法、RSA PKCS1/NoPadding、eval 解码执行

打包器识别

• Webpack
• Vite/Rollup
• Parcel
• Browserify
• Next.js/Nuxt
• Angular
• Umi/Dva

泄露扫描结果

PART 05漏洞审计

审计维度

• 未授权 API、敏感 API
• 鉴权状态异常
• 接口文档暴露：OpenAPI、Swagger、GraphQL、GraphiQL
• 前端路由鉴权依赖客户端状态
• IDOR、租户/角色/归属字段可控
• 支付、订单、金额、优惠、余额等逻辑参数风险
• DOM XSS 数据流
• 重定向、SSRF 参数风险
• 上传校验依赖前端
• CSRF、跨站凭证、CORS 配置风险

验证机制

• 支持自动验证：同源接口匿名探测、接口文档入口探测、前端路由守卫绕过
• 人工复核标注：IDOR/越权、支付金额篡改、上传绕过、DOM XSS、CSRF、租户/角色字段可控

漏洞审计结果

PART 06API 批量测试

• HTTP 方法支持：GET、POST、HEAD、OPTIONS、PUT、PATCH、DELETE
• 自定义请求体
• 登录态请求与匿名请求对比测试
• 响应状态码、类型、预览
• 高风险 API 优先级排序
• 业务变更方法确认提示

PART 07Vue Router 运行时分析

• Vue 运行时实例识别
• Router 实例与路由列表提取
• 路由守卫信息展示
• 敏感路由标记
• 路由守卫绕过验证
• meta 状态修改与恢复

重点导读报告导出

• JSON 格式完整报告
• Markdown 格式报告
• 按严重性排序
• 包含来源文件、命中位置、证据、建议

重点导读权限说明

| 权限 | 用途 | | — | — | | activeTab | 获取当前活动标签页信息 | | scripting | 页面脚本执行、Vue 分析 | | downloads | ZIP、JSON、Markdown 报告下载 | | storage | 基础状态保留 | | webRequest | 脚本资源请求记录 | | | 全URL站点支持 |

本公众号非项目作者，仅做技术分享。

本文介绍的项目开源地址如下：

https://github.com/flagqaz/AegisScope

广告时间

低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。

☟上下滑动查看更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《浏览器扩展安全审计工具天花板：玄镜 AegisScope 一站式解决前端代码资产采集、敏感信息泄露扫描与漏洞挖掘》