2026-05-08 05:32:04 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍OWASPPTK浏览器渗透测试插件，具备Cookie管理、编解码转换、Swagger解析、XSS/SQL注入POC生成、JWT分析等功能，支持流量拦截和漏洞扫描。文章详细说明工具安装方法并强调仅供合法测试使用，提供公众号回复关键词获取下载链接的可操作建议。 综合评分： 78 文章分类： 渗透测试,安全工具,WEB安全,红队,漏洞分析

cover_image

武装你的浏览器-Penetration Testing Kit

原创

锐鉴安全锐鉴安全

锐鉴安全

2026年5月5日 07:00 广东

在小说阅读器读本章

去阅读

go。

部分X

dian’ji’weigweiID

，

zai

cizhi’cizhici

“证书站的未授权漏洞，忆校园青春阅edu证书站的未授权漏洞，忆校园青春

点击蓝字关注我共筑信息安全

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

背景

本次实战的案例，源于某高校的人脸采集系统，听着都感觉危害很大，因为全是敏感信息，如身份证、人脸等，拿到就是高危漏洞。从无账号到登录系统，靠的就是fuzz，详细的过程见实战过程。

实战过程

通过一系列的信息收集，高校的人脸采集系统引起了作者注意，为什么？因为有敏感信息。

连Hunter、Fofa都没索引到这个系统，作者靠灯塔拿到了，灯塔确实好使，关键还免费，需要的师傅可以文末获取下载链接！

系统的首页如下图，可以看到，只用一个登录按钮。

看下findsomething，也没有找到“注册”功能相关的关键字，同时也跑了下接口，并无接口未授权问题。

本次案例的关键操作来了，首先抓包观察下登录系统的数据包情况，随意输入账号密码，点击登录。

可以看到登录的数据包中有个login关键字，秉着试试的心态！

作者将login改为register，惊喜时刻，注册账号成功。

使用注册成功的账号登录系统。

可以看到获取到了身份凭证。

登录到了个人信息首页。

任意用户注册账号漏洞拿下，这个fuzz操作确实有点妙。都登录系统，肯定得把全量的功能测一遍，一般可以测试sql注入、越权、文件上传等漏洞。

点击蓝字关注我共筑信息安全

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息、工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

背景

OWASP PTK 是一款为渗透测试人员、红队成员和应用安全从业者量身打造的浏览器插件。

它不仅仅是一个简单的 Payload 插入工具，更像是一把多功能瑞士军刀，将信息收集、流量拦截、改包重放乃至漏洞扫描全流程浓缩在了浏览器之中。

PTK 还内置了一系列提升测试效率的小工具，避免了在安全测试中断断续续地切换软件。

工具介绍

主要功能

Cookie管理

提供强大的 Cookie 编辑功能，支持添加、修改、批量导入导出，甚至能设置 Cookie 的阻断与保护规则。

编解码器

内置了 URL、Base64、MD5、Hex 等常见格式的互相转换，应付 WAF 绕过时的基础变形游刃有余。

Swagger解析

如果目标站点有暴露 Swagger/OpenAPI 文档，PTK 可以直接解析并在侧边栏渲染出所有 API 端点，实现一键构造请求进行接口测试

XSS模块

集成多种poc，具备绕waf的poc生成功能。

SQL注入POC模块

集成了多种数据库类型的sql注入poc管理，如mysql、mssql、pgsql等。

JWT分析模块

令牌解析与篡改：可视化解码 JWT，并允许测试人员修改其中的 Header 或 Payload。

签名攻击模拟：支持生成公私钥对，并能够模拟多种高危攻击场景，如空加密算法攻击、HMAC 密钥暴力破解、以及恶意的 jwk/jku参数注入。

工具的使用方法：

1、下载以上插件，下载方式见文末；

2、进入浏览器扩展程序-》管理扩展程序；

3、直接把crx文件拖进去即可安装。

下载链接见文末！！

注意：记得星标，才能第一时间接收到文章更新通知！！！

期待你的关注

往期好文推荐

记一次SRC实战Getshell

OneScan_TX插件，出洞神器

分享一个渗透测试必备的POC速查网站

微信小程序Debugger 神器-First

专注于各类注入检测的工具-xia_tan

基于攻防演练场景的信息收集工具

“细狗”,太细了,就该你出洞（干货案例）

SRC之实名绑定绕过实战！

SRC通用案例，第三方接口调用缺陷

记一次对房东xxx的渗透实战，含技巧！

通过SSO认证绕过，艰难“拿证”实战

JSHunter助你挖掘JS中的漏洞”宝矿”

分享1个发现隐藏资产的技巧，附实战

更新-大佬的SRC思路，等你来GET

SRC必备的SSRF插件

记一次SRC渗透测试实战

从微信扫描登录到账号接管，细节实战

更新|帆软、用友、泛微、蓝凌等常见OA系统综合漏洞检测工具

Web渗透测试综合工具

Java漏洞专项检测工具

有趣的Fuzz+BucketTool工具等于双高危！

推荐一款资产“自动化”筛选工具

入交流群扫下方二维码：

号外：进入下方小程序，获取其他资源。

下载方式：关注公众号，回复“260505”获取下载链接。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：锐鉴安全锐鉴安全锐鉴安全《武装你的浏览器-Penetration Testing Kit》