文章总结： 该文档介绍了一款Chrome扩展安全工具，具备页面资产自动采集、技术指纹识别、Spring端点探测、Webpack映射分析、云存储漏洞扫描及实战Payload字典等功能。工具支持被动发现与主动扫描云存储Bucket安全风险，并提供SQL注入、XSS、SSTI等13类攻击场景的Payload库。用户可通过公众号回复关键词获取工具下载链接。 综合评分： 78 文章分类： 安全工具,WEB安全,渗透测试,云安全,漏洞分析

插件 | 页面资产梳理 · 技术指纹识别 · Spring/Webpack 探测 · 云存储漏洞扫描 · 实战 Payload 字典

z50n6 z50n6

夜组安全

2026年6月3日 07:40 青海

在小说阅读器读本章

去阅读

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

工具介绍

Chrome 扩展 — 页面资产梳理 · 技术指纹识别 · Spring 端点探测 · Webpack 映射分析 · 云存储 Bucket 发现与漏洞检测 · Payload 字典

工具功能

信息收集

打开页面自动采集，覆盖 20+ 类别：

域名``API 绝对路径``API 相对路径``模块路径``文档``账密``Cookie``密钥``手机号``邮箱``身份证``IP``公司名``JWT``图片``GitHub``Vue/JS``URL``AJAX 路由``输入框

深度模式自动拉取外链 JS，递归提取接口与路径。支持域名黑名单、三方 JS 过滤、动态重扫，扫描结果一键复制 / 复制 URL。

指纹

响应头与页面 DOM 双重检测，识别技术栈组件：服务器、Web 框架、CDN、分析统计、前端 UI 库、安全产品等。命中项按类型着色。

Spring 探测

按路径字典并发探测 Actuator、Swagger、Druid 等端点。内置默认字典，可在设置中自定义路径。支持中止扫描，结果按状态码着色排序，200 优先置顶。

Webpack

• Source Map 提取 — 从页面 JS 中自动识别并拉取 .map 文件
• 一键分析 / 复制 / 下载 — 解析模块列表后批量导出
• JS 分包下载 — 填写入口 JS 与 chunk 基础路径，自动解析并逐个下载
• 规则管理 — 导入/导出/重置自定义匹配规则

云存储

被动发现 — 浏览时自动从网络流量中检出云存储 Bucket：

• 响应头特征：x-amz-request-id``x-oss-request-id``x-cos-request-id``x-obs-request-id
• 域名匹配：s3.amazonaws.com``oss.aliyuncs.com``cos.myqcloud.com``obs.myhuaweicloud.com

主动扫描 — 对发现的桶执行漏洞检测，覆盖 4 家云厂商：

| 厂商 | 检测项 | | — | — | | AWS S3 | ListBucket · PUT 上传 · DELETE 删除 · ACL 读写 · 桶接管 | | 阿里云 OSS | ListBucket · PUT 上传 · ACL 读写 · Policy 写入 · 桶接管 | | 腾讯云 COS | ListBucket · PUT 上传 · ACL 读写 | | 华为云 OBS | ListBucket · PUT 上传 · ACL 读写 |

结果按严重程度着色：严重（桶接管/公开写）高危（遍历/ACL 读/PUT）中危（DELETE 允许）。

Payload

内置实战攻击链场景，覆盖 13 个类别 50+ 场景，每个场景拆分为可复制的分步命令：

| 类别 | 覆盖范围 | | — | — | | SQL 注入 | MySQL / PostgreSQL / MSSQL / Oracle — UNION、盲注、堆叠、认证绕过、文件读写 | | XSS | 反射、DOM、绕过、Cookie 窃取、BeEF 钩子、键盘记录、Polyglot/mXSS | | SSTI | Jinja2、FreeMarker、Twig、Smarty、ERB、Spring/Thymeleaf、Pug/Jade、Mako | | SSRF | AWS/GCP/Azure 云元数据、Redis 内网利用、DNS 重绑定、IP 绕过 | | XXE | 经典文件读取、OOB 外带、XInclude、报错型泄露、CDATA 包装 | | FastJson | 检测/版本探测、JNDI 注入、AutoType 绕过、BCEL 字节码、TemplatesImpl | | 其他 | 命令注入、LFI、路径遍历、JWT、文件上传、反序列化、Log4j、Clickjacking |

支持按分类/子分类筛选、关键词搜索、编码变换（URL/Base64/Hex/Unicode/大小写混淆等 12 种），一键复制 payload。

工具获取

点击关注下方名片进入公众号

回复关键字【260603】获取下载链接

往期精彩

[实用！基于AI大模型的设备安全基线排查工具 自动分析设备配置信息

2026-06-01

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496947&idx=1&sn=417637c47cfd5090ac1345bca5758258&scene=21#wechatredirect)[一款基于 Windows 桌面端渗透测试工具箱，集成信息收集、武器库、工具箱、编码转换四大类共 18+ 子模块

2026-05-29

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496937&idx=1&sn=926c2117e32188d9a9ed59534a43be76&scene=21#wechatredirect)[好用！XSS漏洞演示靶场 | 交互式XSS、攻击演示平台、钓鱼攻击、Cookie窃取演示

2026-05-28

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496921&idx=1&sn=1dbf27b09fbdc048c8b919078e0458df&scene=21#wechatredirect)[NGINX Rift — CVE-2026-42945 漏洞扫描与验证工具

2026-05-27

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496912&idx=1&sn=32139e8eb027427f436c7769ce5f1d68&scene=21#wechatredirect)[AI Agent 驱动的代码安全审计技能包 — 企业级 SAST、LLM 红队测试、自动化代码审查

2026-05-26

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496907&idx=1&sn=985aac39798b4048c72f711d67ff1e29&scene=21#wechatredirect)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 z50n6 z50n6《插件 | 页面资产梳理 · 技术指纹识别 · Spring/Webpack 探测 · 云存储漏洞扫描 · 实战 Payload 字典》