文章总结： ButterCookie是一款基于ChromeExtensionManifestV3开发的Web渗透测试浏览器插件。它集成了信息收集、XSS与SQL注入测试、端点安全扫描及Shodan查询等核心模块，支持指纹识别、蜜罐检测、多种注入入口利用及前端漏洞审计。该工具为安全测试人员提供了一站式漏洞识别与评估方案，具备较高的实用性与可操作性，适合辅助日常Web安全测试工作。 综合评分： 85 文章分类： 渗透测试,安全工具,WEB安全,漏洞分析,红队

Butter Cookie——web多功能渗透测试浏览器插件

一个人挺好 一个人挺好

一个人挺好 wa

2026年3月25日 20:15 上海

开发作者

#

项目地址

https://github.com/EdinLyle/Butter_Cookie

项目概述

Butter Cookie是一款集成化渗透测试浏览器插件（Chrome Extension），专为安全测试人员和开发者设计。它提供了丰富的安全测试工具集，帮助用户快速识别和评估Web应用的安全漏洞。

#

模块详解

1. 信息收集模块

功能定位：Web应用指纹识别与敏感信息探测

表格

| 子功能 | 描述 | | — | — | | User-Agent管理 | 支持多种设备UA快速切换（iPhone Safari、Android Chrome、Windows Chrome、华为/小米/OPPO等） | | Cookie管理 | 自定义Cookie注入，支持键值对格式 | | HTTP头部管理 | 配置X-Forwarded-For、Referer、Client-IP、X-Real-IP等请求头 | | 敏感信息收集 | 扫描页面资源，支持导出JSON/TXT/CSV/XLSX格式 | | 框架指纹识别 | 识别Web应用使用的技术框架和组件 | | 蜜罐检测 | 检测目标是否为蜜罐系统 | | Fuzz扫描 | 支持JS文件Fuzz、API Fuzz、接口Fuzz三种模式 |

使用流程：

1. 在SITE字段输入目标域名
2. 选择或输入User-Agent
3. 配置Cookie和HTTP头部（可选）
4. 点击”应用并刷新”生效，或”清除并刷新”恢复默认

2. XSS测试模块

功能定位：跨站脚本漏洞检测与利用

表格

| 子功能 | 描述 | | — | — | | 批量填充 | 自动填充XSS Payload到页面输入框 | | CSP读取 | 读取当前页面的Content Security Policy策略 | | 参数提取 | 自动提取URL中的Query参数、Hash参数、Path参数 | | 编码转换工具箱 | 支持HTML实体编码、URL编码、十六进制编码 |

参数提取区域：

• QUERY参数区：URL查询字符串参数
• HASH参数区：URL片段标识符参数
• PATH参数区：URL路径参数

3. SQL注入测试模块

功能定位：SQL注入漏洞检测与利用

SQL HackBar 功能架构：

┌────────────────────────────────────────┐
│  SQL HackBar                           │
├────────────────────────────────────────┤
│  METHOD: [GET ▼]                      │
│  URL: https://target/path?x=1         │
│  [从当前页填充] [发送请求]              │
├────────────────────────────────────────┤
│  注入入口: [URL参数 ▼]                  │
│  KEY: id / uid / token                │
│  PAYLOAD: ' OR 1=1-- -                │
│  [追加] [替换]                         │
├────────────────────────────────────────┤
│  HEADERS (自定义请求头)                 │
│  COOKIE (自定义Cookie)                  │
│  BODY (请求体配置)                      │
│  RESPONSE (响应分析区域)                │
└────────────────────────────────────────┘

支持特性：

• 多种HTTP请求方法（GET/POST/PUT/DELETE等）
• 多种注入入口（URL参数、Body参数、Cookie、Header）
• 响应内容分析
• Curl命令自动生成与复制

4. 端点安全扫描模块

功能定位：前端代码安全审计

表格

| 检测类型 | 说明 | | — | — | | JS端点发现 | 从JavaScript文件中提取API端点 | | 敏感目录发现 | 探测常见的敏感目录和文件 | | DOM XSS检测 | 检测DOM型XSS漏洞 | | 跨域消息追踪 | 监控postMessage跨域通信 | | 原型污染检测 | 检测JavaScript原型链污染漏洞 | | 重定向漏洞检测 | 检测开放式重定向漏洞 |

5. Shodan主机信息模块

功能定位：网络空间资产情报查询

查询维度：

• 域名信息：关联域名解析记录
• 开放端口：主机暴露的服务端口
• 安全漏洞：已知CVE漏洞信息
• 详细信息链接：跳转Shodan官网查看完整报告

6. 辅助工具模块

功能定位：提升渗透测试效率的实用工具集

表格

| 工具 | 功能 | | — | — | | Vue快速检测 | 检测目标是否使用Vue.js框架及版本 | | JavaScript工具 | JS代码格式化、压缩、解码等 | | 批量URL打开工具 | 批量在标签页中打开URL列表 | | URL列表管理 | 管理和维护测试目标URL清单 |

技术实现

技术栈

表格

| 层级 | 技术 | | — | — | | 前端框架 | HTML5 + CSS3 + JavaScript (原生) | | 浏览器API | Chrome Extension Manifest V3 | | UI组件 | 自定义组件库 | | 数据导出 | SheetJS (XLSX导出) |

快速开始

开发者模式加载

1. 下载项目源码并解压
2. 打开 Chrome 浏览器，进入 chrome://extensions/
3. 开启右上角”开发者模式”
4. 点击”加载已解压的扩展程序”
5. 选择项目根目录

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一个人挺好 wa 一个人挺好 一个人挺好《Butter Cookie——web多功能渗透测试浏览器插件》