夜雨聆风免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
Chrome 扩展 — 页面资产梳理 · 技术指纹识别 · Spring 端点探测 · Webpack 映射分析 · 云存储 Bucket 发现与漏洞检测 · Payload 字典
工具功能
信息收集
打开页面自动采集,覆盖 20+ 类别:
域名API 绝对路径API 相对路径模块路径文档账密Cookie密钥手机号邮箱身份证IP公司名JWT图片GitHubVue/JSURLAJAX 路由输入框
深度模式自动拉取外链 JS,递归提取接口与路径。支持域名黑名单、三方 JS 过滤、动态重扫,扫描结果一键复制 / 复制 URL。
指纹
响应头与页面 DOM 双重检测,识别技术栈组件:服务器、Web 框架、CDN、分析统计、前端 UI 库、安全产品等。命中项按类型着色。
Spring 探测
按路径字典并发探测 Actuator、Swagger、Druid 等端点。内置默认字典,可在设置中自定义路径。支持中止扫描,结果按状态码着色排序,200 优先置顶。
Webpack
Source Map 提取 — 从页面 JS 中自动识别并拉取 .map文件一键分析 / 复制 / 下载 — 解析模块列表后批量导出 JS 分包下载 — 填写入口 JS 与 chunk 基础路径,自动解析并逐个下载 规则管理 — 导入/导出/重置自定义匹配规则
云存储
被动发现 — 浏览时自动从网络流量中检出云存储 Bucket:
响应头特征: x-amz-request-idx-oss-request-idx-cos-request-idx-obs-request-id域名匹配: s3.amazonaws.comoss.aliyuncs.comcos.myqcloud.comobs.myhuaweicloud.com
主动扫描 — 对发现的桶执行漏洞检测,覆盖 4 家云厂商:
结果按严重程度着色:严重(桶接管/公开写)高危(遍历/ACL 读/PUT)中危(DELETE 允许)。
Payload
内置实战攻击链场景,覆盖 13 个类别 50+ 场景,每个场景拆分为可复制的分步命令:
支持按分类/子分类筛选、关键词搜索、编码变换(URL/Base64/Hex/Unicode/大小写混淆等 12 种),一键复制 payload。
工具获取
点击关注下方名片进入公众号
回复关键字【260603】获取下载链接
往期精彩
实用!基于AI大模型的设备安全基线排查工具 自动分析设备配置信息
2026-06-01
一款基于 Windows 桌面端渗透测试工具箱,集成信息收集、武器库、工具箱、编码转换四大类共 18+ 子模块
2026-05-29
好用!XSS漏洞演示靶场 | 交互式XSS、攻击演示平台、钓鱼攻击、Cookie窃取演示
2026-05-28
NGINX Rift — CVE-2026-42945 漏洞扫描与验证工具
2026-05-27
AI Agent 驱动的代码安全审计技能包 — 企业级 SAST、LLM 红队测试、自动化代码审查
2026-05-26
