文章总结: Hx0鹰眼是一款浏览器原生扩展,将传统代理工具的HTTP/WebSocket抓包、拦截改包、重放、Fuzz、敏感信息检测、暗链扫描及AI审计等能力集成至侧边栏。其零代理架构与同源会话一致性降低了使用门槛。社区版满足基础测试,专业版提供深度渗透与AI自动化功能。 综合评分: 81 文章分类: 渗透测试,安全工具,WEB安全,红队,内网渗透
浏览器抓包革命的终极答案:这款扩展让专业安全测试触手可及
棉花糖糖糖 棉花糖糖糖
棉花糖网络安全工具箱
2026年7月9日 10:48 四川
在小说阅读器读本章
去阅读
安全声明:本工具仅限授权系统安全测试、研发联调使用。使用者须遵守当地法律法规及目标系统授权范围。
重点导读简介
Hx0 鹰眼是一款浏览器原生扩展,深度集成于 Chrome、Firefox 及主流 Chromium 内核浏览器侧边栏。该工具将传统需要独立代理工具才能完成的 HTTP/WebSocket 流量捕获、请求拦截与改包重放、敏感信息检测、暗链扫描及 AI 智能审计等能力,全部收敛至浏览器侧栏工作台内。
核心功能界面
重点导读核心能力
PART 01零代理架构
无需配置系统代理、无需导入证书、无需启动独立 JVM 或 Python 环境。安装扩展后直接启用抓包,浏览器侧边栏内完成全流程操作。
零代理工作模式
PART 02全协议覆盖
支持 XHR、Fetch、WebSocket 帧的全程捕获与记录。WebSocket 握手(101 状态码)与双向数据帧(OUT/IN)均在捕获范围内,支持按类型、域名、方法、状态码等多维度筛选。
PART 03同源会话一致性
抓包通道与当前浏览器标签页共享完整登录态(Cookie、Token、Session),彻底消除传统代理模式下的会话断层问题。重放请求时无需手动同步认证信息。
重点导读功能模块
PART 04抓包与历史
IndexedDB 持久化存储历史记录,支持全量搜索、多维筛选、敏感信息命中标记。可切换当前页面视图或全局视图。
PART 05拦截与改包
HTTP 请求队列式暂停机制,命中规则时触发侧栏编辑面板。支持编辑后放行、丢弃或一键批量处理。WebSocket 帧级拦截同样支持。
拦截改包界面
PART 06重放工作台
支持 Raw/Pretty/Hex 三种报文格式切换,响应体沙箱 Render 预览。可对请求头 Referer、User-Agent、Origin、X-Forwarded-For 等关键字段独立编辑覆盖。
PART 07微型 Fuzz
使用 §...§ 标记注入点,支持 HTTP 与 WebSocket 帧串行 Fuzz。下一条入站帧自动作为响应结果判定依据。
Fuzz工作台
PART 08编解码与哈希
基础版覆盖 MD5、SM3、SHA、ROT13、Base64、URL、Hex。专业版扩展至 AES/DES/RSA/SM 及智能套娃多层解码。
PART 09敏感信息检测
内置证件、手机号、银行卡、邮箱等规则,支持 JWT、Shiro、Swagger、UEditor、Druid 等框架指纹识别。自定义正则与关键词库支持批量导入导出。
敏感信息检测
PART 10暗链检测
基于规则对静态 HTML 进行扫描,高置信度顶级域名降噪处理。报告可导出,支持批量检测与横向对比。
暗链检测功能
重点导读AI 能力(专业版)
PART 11BYOK 架构
支持对接 OpenAI、DeepSeek、本地 LM Studio 或自定义 Base URL 端点。数据仅发送至用户配置的 API 地址。
PART 12单包 AI 分析
对单个请求/响应全文进行语义级解读,输出异常分析与风险研判建议。
PART 13批量 AI 分析
勾选多条历史记录,独立页逐条高亮展示并生成汇总报告。适用于多接口、多域名场景的横向风险归纳。
批量AI分析
PART 14AI 任务台
多阶段自动化工作流引擎,支持智能渗透模式与 CTF 夺旗模式。执行过程记录请求证据、Payload、Flag 命中结果与最终分析报告。
PART 15Skills 知识库
内置渗透测试与 CTF 知识库子模块,支持导入外部 SKILL.md 文件。任务执行前可按需勾选注入模块,AI 生成技能可自动创建新的知识单元。
PART 16运行中线索补充
任务执行过程中可随时向补充线索队列写入新观察内容(参数、回显、入口提示),按时间戳追加至后续轮次上下文。
AI任务台界面
重点导读版本策略
PART 17社区版
覆盖抓包(含 WebSocket 基础观测)、历史查看、详情审计、基础编解码、拦截改包、基础重放等核心链路。
PART 18专业版
解锁页面内重放/ Fuzz、HTTP/WS 微型 Fuzz、AI 全套能力、AI 任务台、Skills 知识库、暗链扫描、批量工作台、高级编解码、智能代理分流器等深度功能。
PART 19试用机制
新安装用户可免费体验 30 分钟专业版全功能,试用结束未激活自动回落至社区版。
重点导读技术架构
PART 20侧栏一体化设计
扩展以浏览器侧边栏为主工作台,历史、拦截、重放、编解码、Fuzz、AI 等模块在同一界面内完成操作闭环。
PART 21智能代理分流器
位于抓包设置区域,支持按站点规则将命中请求转发至 Burp、Yakit 等上游代理,未命中请求保持原路径。支持 Firefox 兼容模式与接管模式切换。
PART 22多引擎协作
暗链检测采用规则引擎;AI 分析支持 BYOK 多模型接入;任务台内置多阶段自适应编排框架,串联真实 HTTP 取证闭环。
重点导读应用场景
PART 23研发联调
日常接口调试、跨域问题定位、前端动态请求分析。侧栏内完成全流程,减少多工具切换成本。
PART 24安全审计
授权范围内的接口漏洞初筛、敏感信息泄露检测、暗链与黑链排查。报告支持导出留证。
PART 25CTF 竞赛
AI 任务台 CTF 夺旗模式自动规划解题路径,Skills 知识库提供内置知识支撑,运行中支持线索补充。
重点导读安装方式
PART 26Edge / 360 极速 / QQ / 搜狗
直接拖拽 .crx 文件至扩展管理页面,启用开发者模式后确认安装。
PART 27Google Chrome
解压文件夹后通过 chrome://extensions/ 加载已解压扩展程序。
PART 28Firefox
开发者版需修改 about:config 中 xpinstall.signatures.required 为 false,然后通过 about:addons 安装 .xpi 文件。
重点导读总结
Hx0 鹰眼将传统独立代理工具的核心能力迁移至浏览器原生扩展侧栏,以零代理门槛、完整会话一致性、一体化工作台的设计思路,覆盖从流量捕获、筛选定位、拦截改包、重放验证、微型 Fuzz 到 AI 智能审计的完整链路。社区版可满足日常研发联调与基础安全测试需求,专业版则面向深度渗透测试与自动化安全审计场景。
本公众号非项目作者,仅做技术分享。
本文介绍的项目开源地址如下:
http://github.com/asaotomo/Hx0-HawkEye
广告时间
低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。
糖心会员站,网络安全必备网站,包括在线内网靶场、web靶场、src靶场、应急响应靶场,以及各种网安资料、教程、方案模版、以及超级多在线工具,99元包年!详细介绍:棉花糖会员站介绍(26年4月26日版本) :在线内网靶场、网安资料方案、在线工具全能资源站,看完介绍百分百心动!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《浏览器抓包革命的终极答案:这款扩展让专业安全测试触手可及》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论