文章总结： 幻影是一款面向SRC场景的浏览器扩展工具，能自动收集页面敏感信息与隐藏接口。它支持一键基础扫描、深度递归爬取及批量API测试，具备自定义正则、Cookie鉴权、数据去重导出等功能。数据仅本地存储，不对外发送，适合安全人员挖掘漏洞和提取敏感资产。 综合评分： 90 文章分类： 安全工具,SRC活动,WEB安全,渗透测试

幻影|一款漏洞挖掘的浏览器扩展辅助工具|收集中的隐藏接口和敏感信息

W小哥

2025年12月29日 18:43 浙江

Tips：由于这个项目刚刚开始，所以可能会有一些bug，师傅们可以提Issues哦，我们都会尽快处理的一款面向 SRC 场景的浏览器扩展），自动收集页面及相关资源中的敏感信息与可疑线索，支持基础扫描、深度递归扫描、批量 API 测试及结果导出与自定义正则配置。特性概览一键基础扫描：自动提取页面内的 API、URL、域名、邮箱、手机号、路径、参数、注释、多类 Token/Key 等

深度递归扫描：多层链接/资源爬取，支持并发、超时配置，并在新窗口中运行，不阻塞当前操作

批量 API 测试：对扫描到的分类条目进行 GET/POST 批测，并发与超时可配置，结果支持复制

导出能力：支持 JSON 与 Excel（.xls XML 格式）两种导出

自定义正则：内置丰富默认规则，可在「设置」中按分类自定义正则并即时生效

Cookie 支持：可一键获取当前站点 Cookie 并保存，便于需要鉴权的请求场景

去重与过滤：内置增强过滤器（域名/邮箱/手机号/API），减少误报自动与增量：页面加载、DOM 变化与定时策略触发静默扫描；深度扫描过程中分层/分批实时合并与展示可添加自定义正则配置，更好的提取你自己想要的内容

安装打开 Chrome/Edge 等 Chromium 内核浏览器，访问 扩展程序Chrome：chrome://extensionsEdge：edge://extensions右上角开启「开发者模式」点击「加载已解压的扩展程序」选择本项目文件夹（包含 manifest.json 的目录）安装完成后，点击工具栏图标打开弹窗界面。权限说明manifestversion: 3hostpermissions: activeTab / tabs / windows：读取当前页信息、打开深度扫描窗口storage：保存扫描结果、深度扫描状态与自定义配置cookies：获取并保存当前站点 Cookie（用于请求鉴权）offscreen：在需要时使用离屏文档执行任务（offscreen.html/offscreen.js）declarativeNetRequest / declarativeNetRequestWithHostAccess：保留/扩展能力（规则式网络处理）contentscripts：注入扫描逻辑（content.js 及扫描模块）所有数据默认保存在浏览器本地（chrome.storage.local），不对外发送。快速上手基础扫描打开目标页面

点击扩展图标打开弹窗，默认会显示当前域点击「开始扫描」或等待自动扫描（首次或超过5分钟未扫描会静默触发）结果按分类展示，可点击条目复制深度递归扫描切换至「深度扫描」页

展开配置（最大深度、并发数、超时；可选：扫描 JS/HTML/API）再次点击按钮启动，新窗口将执行分层递归扫描并实时更新结果扫描完成后结果会自动合并保存并回显批量 API 测试切换至「API测试」页选择请求方法及要测试的分类（如绝对路径API、相对路径API、JS/CSS/图片/URL/域名/路径）

支持选择GET/POST请求方式来进行测试

配置并发与超时，点击「批量请求测试」在弹窗结果中排序，查看与复制

支持预览响应

导出数据在「扫描」页点击「导出数据」

选择导出为 JSON 或 Excel（.xls）

文件名格式：域名随机数，例如 example.com123456.xls设置（Cookie与正则）切换至「设置」页Cookie：点击获取当前站点 Cookie 或手动粘贴保存正则：按分类编辑后「保存配置」即时生效；可「恢复默认」支持的数据分类（部分）API：absoluteApis网络与资源：urls、domains、subdomains、ports、paths、parameters、jsFiles、cssFiles、images、audios、videos、vueFiles、githubUrls身份与联络：emails、phoneNumbers、ipAddresses、companies安全敏感：sensitiveKeywords、credentials、jwts、bearerTokens、basicAuth、authHeaders、wechatAppIds、awsKeys、googleApiKeys、githubTokens、gitlabTokens、webhookUrls、idCards、cryptoUsage表单信息：forms、inputFields、hiddenFields注释：comments说明：实际输出在展示前做去重、数量限制与过滤，避免噪音。深度扫描原理与限制原理从当前页初始结果中收集候选 URL（JS/HTML/API）分层递归（最大深度可配），队列+并发 worker 处理，URL 内容经 PatternExtractor 提取通过 background.js 代发请求（runtime.sendMessage: makeRequest），处理跨域、超时、类型与文本提取应用增强过滤器（域名/邮箱/手机号与 API），结果实时合并到 deepScanResults，并回显与持久化仅同域扫描（same-domain 策略），避免越权和噪音配置建议最大深度 23，避免过度抓取若目标需要授权访问，请先在设置中保存 Cookie已做优化URL 内容缓存、正则缓存、分层显示更新、Set 去重、分批持久化自定义正则（Settings）保存位置与生效链路保存 phantomRegexConfig 与 regexSettings 两份，保证兼容PatternExtractor 在扫描/深度扫描前会 load/update 自定义规则并即时生效可配置项（示例）API / 域名 / 邮箱 / 手机号 / 敏感信息 / IP / 路径 / JWT / Bearer / Basic / Authorization / 微信AppID / AWS / Google API Key / GitHub/GitLab Token / Webhook / 加密调用 / GitHub 链接 / Vue 文件 / 公司名称 / 注释 等校验保存前会对每条正则进行语法校验，失败会提示并中断保存常见问题扫描无结果或很少目标为系统页（chrome://、chrome-extension://）会被跳过页面首扫后 5 分钟内静默节流；可手动点「开始扫描」规则过严或错误：检查设置中的自定义正则；可恢复默认深度扫描不生效/请求失败站点需要鉴权：先保存 Cookie 后再执行并发过高或超时过短：适度调小并发、调大超时Excel 打不开导出为 .xls可直接用 Excel 打开；若提示编码，选择 UTF-8性能建议复杂页面建议使用默认节流与深度参数，避免过高并发导致浏览器卡顿

关注公众号回复“20260104”获取工具地址。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：W小哥 《幻影|一款漏洞挖掘的浏览器扩展辅助工具|收集中的隐藏接口和敏感信息》