文章总结： 文档介绍名为黄油曲奇的渗透测试浏览器插件，集成信息收集、XSS/SQL注入测试、端点扫描及Shodan查询功能。该插件将分散工具整合为一体化工作台，具备DOMXSS检测、原型污染检测等前端攻防能力，支持指纹识别与资产联动。工具基于浏览器扩展架构开箱即用，支持结果导出，适合安全人员提升Web漏洞挖掘效率。 综合评分： 76 文章分类： 渗透测试,WEB安全,安全工具

一款面向实战的渗透测试浏览器插件：信息收集｜XSS/SQL｜端点扫描｜JS 逆向｜Fuzz｜指纹识别｜Shodan

原创

0x八月 0x八月

0x八月

2026年3月25日 13:03 陕西

一款面向实战的渗透测试浏览器插件：信息收集｜XSS/SQL｜端点扫描｜JS 逆向｜Fuzz｜指纹识别｜Shodan

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

📖 项目/工具简介

  黄油曲奇是一款集成化渗透测试浏览器插件，面向安全测试人员和开发者，提供信息收集、XSS/SQL注入测试等一站式Web安全检测能力。

🚀 一句话优势

把分散的浏览器渗透小工具整合成一个可视化插件，减少频繁切换。

📋 核心能力速览

| 功能 | 说明 | | — | — | | 信息收集 | 管理UA/Cookie/HTTP头并做指纹识别与敏感信息扫描 | | XSS测试 | 批量填充表单、读取CSP与参数提取辅助验证XSS | | SQL注入测试 | 内置SQL HackBar与多种请求方式的注入调试 | | 端点安全扫描 | JS端点、敏感目录、DOM XSS与重定向等端点风险检测 | | Shodan与辅助工具 | Shodan主机信息查询与Vue检测、批量URL管理等 |

📸 运行截图

| 模块 | 截图说明 | | — | — | | 信息收集 | 信息收集面板与扫描结果列表 | | XSS测试 | XSS批量填充与编码转换界面 | | SQL注入测试 | SQL HackBar与响应查看区域 | | 端点安全扫描 | DOM XSS、端点发现与结果面板 | | Shodan | Shodan查询结果 | | 辅助工具 | VUE快速检测、JAVASCRIPT、批量URL工具 |

✨ 核心亮点

1. 一站式渗透测试工作台

 黄油曲奇是拥有信息收集、XSS、SQL注入、端点扫描、Shodan 查询和辅助工具等功能的浏览器扩展，避免在多个插件和脚本之间来回切换。你可以在目标页面上直接切换标签完成不同测试步骤，保持上下文不丢失。

2. 更贴近实战的前端攻防能力

  插件内置DOM XSS检测、JS端点发现、跨域消息追踪、原型污染检测和重定向漏洞检测等前端相关能力，直接在页面上下文中执行。配合Vue快速检测与JS控制工具，可以在前端架构层面快速摸清攻击面。

3. 从指纹识别到Shodan联动的资产视角

  信息收集模块通过框架指纹识别、敏感信息收集和Fuzz扫描帮助你快速描述目标特征，再结合 Shodan 主机信息模块查看开放端口和历史漏洞数据。两者联动可以把“当前页面的技术栈”和“背后主机的暴露面”串起来，为后续利用提供更清晰的路径。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | Chrome/Edge 扩展架构 | 基于 manifest.json 配置内容脚本、后台脚本与弹窗界面 | 原生集成浏览器能力，部署简单、跨平台 | | 模块化内容脚本 | dom-xss-detector、endpoint-finder 等按功能拆分 | 各模块独立维护，方便扩展和定制 | | 浏览器权限深度使用 | 利用 activeTab、webRequest、cookies 等权限 | 更贴近真实请求链路，丰富测试手段 | | 预设数据文件 | 使用 api.txt、finger.json、js.txt、param.txt 等数据源 | 开箱即用，减少手动配置常用字典 | | 前端可视化界面 | popup.html + popup.js + style.css | 操作低门槛，适合非安全专业的开发者辅助排查 |

📖 使用指南

① 准备工作： 从项目仓库克隆代码到本地后，在 Chrome 或 Edge 中打开 chrome://extensions，打开开发者模式，点击加载已解压的扩展程序并选择项目目录完成安装。

② 核心操作： 访问目标站点，在工具栏点击插件图标，选择信息收集、XSS、SQL 注入、端点扫描或 Shodan 等模块。根据模块提示填写目标 URL、请求方法和payload，然后点击对应的开始扫描或发送请求按钮执行。

③ 结果查看： 在各模块的结果面板中查看检测输出，可按需要导出为 JSON/TXT/CSV/XLSX 等格式，方便后续整理报告或与团队共享。

📖 项目地址

https://github.com/EdinLyle/Butter_Cookie#

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

| | | | — | — | | | |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0x八月 0x八月《一款面向实战的渗透测试浏览器插件：信息收集｜XSS/SQL｜端点扫描｜JS 逆向｜Fuzz｜指纹识别｜Shodan》