1、shodan

這個(gè)插件可以自動(dòng)探測(cè)當(dāng)前網(wǎng)站所屬的國(guó)家、城市，解析IP地址以及開(kāi)放的服務(wù)和端口，包括但不限于FTP、DNS、SSH或者其他服務(wù)等，屬被動(dòng)信息搜集中的一種。

2、hackbar（收費(fèi)之后用Max Hackerbar代替）

這個(gè)插件可用于常見(jiàn)編碼/解碼、POST/Cookies數(shù)據(jù)提交、SQL/XSS/LFI/XXE漏洞測(cè)試、自定義Referer/User-Agent等，是一款不可多得的滲透測(cè)試人員必備插件，雖然現(xiàn)在作者已經(jīng)收費(fèi)了，但還是能夠繞過(guò)其限制的。

3、d3coder

這個(gè)插件可用于各種類型的編碼和解碼，例如URI、Hex、Base64，Rot13或Unix時(shí)間戳等編碼之間的相互轉(zhuǎn)換。

4、NoScript

這個(gè)插件可用于禁止瀏覽器加載和解析JS代碼，也可以通過(guò)以下兩種方式禁止執(zhí)行JS，常見(jiàn)應(yīng)用場(chǎng)景有：禁用JS后臺(tái)越權(quán)、禁用JS白名單上傳等。

• Firefox：about:config->javascript.enabled

• Chorme：chrome://settings/content/javascript

5、Wappalyzer

這個(gè)插件可用于指紋識(shí)別，能夠檢測(cè)出當(dāng)前網(wǎng)站使用的Web框架和CMS、CDN、統(tǒng)計(jì)、中間件、編程語(yǔ)言以及JavaScript框架和庫(kù)等等相關(guān)信息。

6、FOFA Pro View

這個(gè)插件比Shodan搜集到的信息更全，能夠檢測(cè)出當(dāng)前網(wǎng)站的托管位置（國(guó)家/地區(qū)/城市）、組織、ASN、端口、協(xié)議和相關(guān)資產(chǎn)等信息。

• 項(xiàng)目地址：https : //github.com/fofapro/fofa_view

7、EditThisCookie / Cookie-Editor

這個(gè)插件可以幫助我們輕松管理谷歌瀏覽器上的各種Cookies，支持添加，刪除，編輯，搜索，鎖定、屏蔽、保護(hù)和攔截Cookies！

8、HTTP Header Live

這個(gè)插件可用于捕獲網(wǎng)頁(yè)中加載的全部網(wǎng)頁(yè)流量數(shù)據(jù)包，并且支持編輯和重發(fā)，就是UI差了點(diǎn)，大部分的同類插件都只能查看，不能編輯和重放。

9、User-Agent Switcher and Manager

這個(gè)插件可用來(lái)模擬指定User-Agent去訪問(wèn)網(wǎng)站，有的開(kāi)發(fā)人員在編寫(xiě)代碼過(guò)程中會(huì)設(shè)置僅允許移動(dòng)端User-Agent訪問(wèn)，一些做黑帽SEO的也經(jīng)常使用這種方式來(lái)限制PC端訪問(wèn)。這款插件在Chrome網(wǎng)上應(yīng)用商店中已經(jīng)下架了，有需要的可以找我。

10、Set Character Encoding

這個(gè)插件可用來(lái)修改當(dāng)前瀏覽器的編碼，當(dāng)瀏覽器編碼與網(wǎng)頁(yè)編碼不一致時(shí)就會(huì)出現(xiàn)亂碼的情況，最后吐槽一下這個(gè)新版谷歌瀏覽器的編碼設(shè)置是真不好找。

11、IP, DNS & Security Tools 或者 IP Address and Domain Information

這個(gè)插件是直接調(diào)用https://hackertarget.com官網(wǎng)接口來(lái)進(jìn)行查詢的，如果長(zhǎng)時(shí)間不出查詢結(jié)果時(shí)可能就得上“墻”了，可查詢的信息包括有：IP、路由、DNS、Whios、指紋、HTTP頭、同服等。

12、anti-honeypot

可以用來(lái)檢測(cè)WEB蜜罐并中斷請(qǐng)求，能夠識(shí)別并中斷長(zhǎng)亭D-sensor和墨安幻陣的部分溯源API。

• 項(xiàng)目地址：https://github.com/Ar3h/anti-honeypot

13、SwitchyOmega

這個(gè)插件主要用來(lái)方便切換代理，有了它就可以方便地在burp代理和正常瀏覽中切換了，不用手動(dòng)設(shè)置代理。

burp過(guò)濾流量規(guī)則

127.0.0.1
[::1]
localhost
*.shodan.io
*.firefox.com
*.fofa.com
*.#
*.wappalyzer.com
*.mozilla.com
*.firefoxusercontent.com
firefoxusercontent.com
*.mozilla.org
mozilla.org
*.digicert.com
digicert.com
*.mozilla.net
*.google-analytics.*
*.google.*
*.googleadservices.*
*.googleadsserving.*
*.googleapis.*
*.googlesyndication.*
*.googletagmanager.*
*.googleusercontent.*
*.gstatic.*
*.baidu.*
*.baidustatic.*
*.bdstatic.*
*.sogou.*
*.sogoucdn.*
*.microsoftonline.*
*.microsoft.*
*.bing.*

14、沙拉查詞-聚合詞典劃詞翻譯

這個(gè)插件主要用于看英文博客，十分好用

15、Retire.js

這個(gè)插件主要用于查看網(wǎng)頁(yè)是否存在有漏洞的js庫(kù)

16、Whatruns

檢查指定網(wǎng)站使用了什么框架，運(yùn)行的組件，以及指紋，類似于Wappalyzer

17、hack-tools

適用于紅隊(duì)的瀏覽器擴(kuò)展插件

https://addons.mozilla.org/en-US/firefox/addon/hacktools/

18、Penetration Testing Kit

這個(gè)組件可以檢測(cè)中間件服務(wù)器的漏洞，還可以構(gòu)造請(qǐng)求包等。

19、Heimdallr

識(shí)別蜜罐。防溯源

https://github.com/graynjo/Heimdallr文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-449680.html