玄镜 AegisScope 是一款浏览器扩展工具,用于在当前页面上下文中采集前端代码资产,并对页面 HTML、JavaScript、SourceMap、打包器产物和运行时接口线索进行分析。
它的目标不是替代人工安全审计,而是把前端侧最容易遗漏的代码资产、敏感信息、接口线索、路由鉴权依赖和逻辑风险集中呈现出来,让测试人员可以更快定位值得复核的位置。
首次打开玄镜 AegisScope 插件首页时,系统会展示使用许可与免责声明。使用者必须勾选同意条款后,插件才会启用代码采集、泄露扫描、漏洞审计、API 测试、Vue Router 分析、验证和报告导出等功能。
请在安装并使用本工具前,审慎阅读并充分理解以下条款:
本插件具备代码资产采集、泄露扫描、漏洞审计、API 探测、路由运行时分析等能力。使用过程中可能对目标网站造成访问日志增加、接口请求增加、触发风控告警、触发验证码或登录失效、造成业务状态变化、业务状态不可用等风险。请仅在测试环境或明确授权范围内使用,您在使用本插件的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。
在执行 API 批量测试、漏洞验证、POST/PUT/PATCH/DELETE 等请求方法、路由守卫绕过或任何可能改变业务状态的操作时,可能导致数据变更、数据误删除、审计日志产生、告警触发、权限状态异常或业务流程被干扰。请仅在测试环境或明确授权范围内使用,您在使用本插件的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。
本插件仅面向合法授权的行为。在使用本插件进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。
在安装并使用本插件前,请务必审慎阅读、充分理解各条款内容,并接受本协议所有条款,否则,请不要使用本插件。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。
- 自动采集当前页面的外链脚本和内联脚本。
- 支持页面 HTML 一并纳入采集与扫描。
- 打包下载时会将除 CSS、图片、字体、音视频等静态资源外的代码类资源统一打包为 ZIP。
- 支持继续发现运行时 chunk、SourceMap、框架资源、内联 SourceMap 中的源码文件。
- 对同源资源使用当前页面上下文读取,提高登录态页面的代码资源获取成功率。
泄露扫描用于发现前端代码中可能暴露的敏感数据、密钥、令牌和不安全加密用法。
支持识别的常见类型包括:
- 云厂商凭证:AWS、阿里云、腾讯云、Google Cloud、Azure、华为 OBS/OSS 等。
- 平台 Token:GitHub、GitLab、Slack、Discord、npm、Docker、Shopify、Cloudflare、Vercel、Netlify、Mailgun、Firebase 等。
- API Key 与请求头凭证:Bearer Token、Basic Auth、Authorization Token、X-API-Key、Session/Cookie Token 等。
- 个人敏感信息:邮箱、手机号、国际手机号、身份证号、银行卡号、公网 IP、内网 IP 等。
- Webhook:Slack、Discord、企业微信、钉钉、飞书等。
- 加密风险:硬编码 AES/IV/HMAC/JWT 密钥、AES ECB、DES/3DES、RC4、MD5/SHA1 安全上下文、RSA PKCS1/NoPadding、eval 解码执行等。
- 打包/混淆识别:Webpack、Vite/Rollup、Parcel、Browserify、Next.js、Nuxt、Angular、Umi/Dva,以及常见混淆和压缩特征。
扫描结果会按漏洞严重性排序,危害最高的结果优先展示。
漏洞审计模块用于从前端源码和接口线索中提取潜在业务风险,并辅助进行授权验证。
主要审计方向:
- 未授权 API、敏感 API、鉴权状态异常。
- 接口文档、OpenAPI、Swagger、Knife4j、GraphQL、GraphiQL 暴露。
- 前端路由鉴权依赖客户端状态。
- IDOR、租户/角色/归属字段可控。
- 支付、订单、金额、优惠、余额等逻辑参数风险。
- DOM XSS 数据流。
- 重定向、外部 URL、SSRF 参数风险。
- 上传校验依赖前端。
- CSRF、跨站凭证、CORS 配置风险。
可自动验证的发现会显示“验证”按钮,例如:
- 同源接口匿名探测。
- 接口文档入口探测。
- 前端路由守卫绕过尝试。
需要业务上下文的发现会显示“人工复核”说明,不再显示误导性的验证按钮,例如:
- IDOR/越权。
- 支付金额篡改。
- 上传绕过。
- DOM XSS。
- CSRF。
- 租户/角色字段可控。
每条漏洞发现都会尽量展示:
- 触发漏洞的文件。
- 命中的代码片段。
- 证据说明。
- 复核或修复建议。
漏洞审计模块内置 API 批量测试能力:
- 支持 GET、POST、HEAD、OPTIONS、PUT、PATCH、DELETE。
- 支持自定义请求体。
- 同时测试带登录态请求和匿名请求。
- 支持响应状态码、响应类型、响应预览。
- 自动将高风险 API 放在前面。
- 每条 API 支持单独手动测试并选择 HTTP 方法。
对于 POST、PUT、PATCH、DELETE 等可能触发业务变更的方法,插件会进行确认提示。请只在授权测试环境中使用。
Vue 工具模块用于分析当前页面中的 Vue / Vue Router 运行时实例。
主要能力:
- 识别 Vue 运行时、Router 实例、路由列表和守卫信息。
- 展示路由 path、name、meta、敏感路由标记。
- 支持点击路由直接跳转。
- 对前端路由鉴权类发现,可在验证时尝试清除路由守卫、修改鉴权 meta,并进入目标路由页面。
- 支持恢复已修改的路由守卫和 meta 状态。
说明:如果跳转后出现“登录失效,请重新登录”,通常说明服务端接口仍然校验登录态或会话状态。这种情况代表前端路由绕过不等于服务端鉴权绕过,需要继续复核接口返回状态。
| 模块 | 文件 | 说明 |
|---|---|---|
| 主弹窗 | popup.html |
代码资产列表、打包下载、入口导航 |
| 泄露扫描 | scan.html |
敏感信息、密钥、加密风险、打包产物分析 |
| 漏洞审计 | vuln-scan.html |
源码审计、API 测试、漏洞验证 |
| Vue 控制台 | vue-tools.html |
Vue Router 运行时分析与路由跳转 |
| 规则库 | rules.js |
泄露扫描与安全规则 |
| 分析器 | analyzer.js |
规则执行、去重、聚合与排序 |
| 后台采集 | background.js |
网络脚本资源记录 |
| 内容脚本 | content.js |
页面脚本资产采集 |
- 解压
玄镜 AegisScope_V1.0.0.zip。 - 打开浏览器扩展管理页面:
- Chrome:
chrome://extensions - Edge:
edge://extensions
- Chrome:
- 开启“开发者模式”。
- 点击“加载已解压的扩展程序”。
- 选择解压后的扩展目录。
- 在目标页面打开插件图标,即可开始使用。
- 打开目标页面。
- 点击浏览器工具栏中的玄镜图标。
- 点击“刷新”重新采集当前页面代码资产。
- 点击“打包下载”,插件会生成一个包含页面 HTML、脚本、SourceMap 和相关代码资源的 ZIP。
- 打开目标页面。
- 点击主弹窗中的“泄露扫描”。
- 等待扫描完成。
- 根据严重性优先查看结果。
- 可按严重性、分类、置信度或关键字过滤。
- 可导出 JSON 或 Markdown 报告。
- 点击主弹窗中的“漏扫审计”。
- 配置递归深度和并发数。
- 可开启或关闭 API 探测。
- 查看“漏洞发现”和“API 批量测试”结果。
- 对支持自动验证的发现点击“验证”。
- 对人工复核类发现,根据代码片段和复核建议进行测试。
- 点击主弹窗中的“Vue 工具”。
- 点击“分析实例”。
- 查看路由列表和运行时详情。
- 点击路由项中的跳转按钮进入对应页面。
- 如曾修改守卫或 meta,可点击“恢复”。
| 类型 | 示例 |
|---|---|
| 云密钥 | AWS、阿里云、腾讯云、GCP、Azure、华为 OBS/OSS |
| 平台 Token | GitHub、GitLab、Slack、Discord、npm、Docker、Cloudflare、Shopify |
| 认证信息 | Bearer、Basic Auth、Authorization Token、Session/Cookie |
| Webhook | Slack、Discord、企业微信、钉钉、飞书 |
| 个人信息 | 邮箱、手机号、国际手机号、身份证号、银行卡、公网/内网 IP |
| 加密风险 | 硬编码密钥、弱算法、不安全模式、解码后执行 |
| 类型 | 说明 |
|---|---|
| 未授权接口 | 匿名请求可访问敏感接口 |
| 鉴权异常 | 带登录态与匿名请求返回状态不一致 |
| 接口文档暴露 | Swagger/OpenAPI/GraphQL 调试入口 |
| 客户端鉴权 | 路由守卫或 meta 依赖前端状态 |
| 逻辑风险 | 支付、订单、角色、租户、归属字段可控 |
| XSS/跳转/上传 | DOM XSS、开放重定向、上传校验依赖前端 |
| CSRF/CORS | 跨站凭证、CSRF 配置、CORS 宽松配置 |
泄露扫描支持:
- JSON 报告。
- Markdown 报告。
- 结果按严重性排序。
- 包含来源文件、命中位置、证据、建议和上下文。
漏洞审计支持:
- JSON 报告。
- Markdown 报告。
- 漏洞发现、验证结果、PoC 或人工复核建议。
- API 测试状态和响应预览。
- 文件来源和代码片段追踪。
玄镜 AegisScope 使用以下浏览器权限:
| 权限 | 用途 |
|---|---|
activeTab |
获取当前活动标签页信息 |
scripting |
在当前页面执行采集、Vue 分析和路由验证脚本 |
downloads |
下载 ZIP、JSON、Markdown 报告 |
storage |
保留基础状态或配置 |
webRequest |
记录页面加载的脚本资源 |
<all_urls> |
支持对不同站点进行授权测试 |
本工具仅用于:
- 自有系统安全检查。
- 已授权的渗透测试。
- SRC 或企业内部安全审计。
- 前端打包产物分析与风险梳理。
请勿在未授权的网站上进行接口探测、批量测试、漏洞验证或业务变更类请求。对于可能改变业务状态的 HTTP 方法,例如 POST、PUT、PATCH、DELETE,请只在测试环境或明确授权范围内执行。
部分漏洞需要真实业务上下文,例如两个不同账号、订单状态、租户数据、上传存储路径或后端处理结果。插件无法安全地自动构造这些条件,因此会显示“人工复核”和复核建议。
这通常说明服务端接口仍然校验登录态。前端路由守卫被绕过后,只能进入页面外壳;如果接口返回 401/403,说明服务端鉴权仍然有效。
可能原因包括:
- CORS 限制。
- 脚本需要特殊 Cookie 或签名。
- 资源已过期或返回 404。
- 页面使用 blob/data 动态构造脚本。
- 浏览器扩展权限无法访问受保护页面。
不会。当前逻辑会跳过 CSS、图片、字体、音视频等资源,重点采集 HTML、JavaScript、SourceMap、JSON、Vue/Svelte/TS 等代码类资源。
- 全新品牌:玄镜 AegisScope。
- 新增科技感扩展图标与统一 UI。
- 支持页面代码资产采集与 ZIP 打包下载。
- 支持泄露扫描、加密风险识别、打包器与混淆特征识别。
- 支持漏洞审计、API 批量测试、自动验证与人工复核建议。
- 支持 Vue Router 运行时分析、路由跳转与守卫绕过验证。
- 支持 JSON / Markdown 报告导出。
玄镜 AegisScope
├── manifest.json
├── popup.html / popup.css / popup.js
├── scan.html / scan.css / scan.js
├── vuln-scan.html / vuln-scan.css / vuln-scan.js
├── vue-tools.html / vue-tools.css / vue-tools.js
├── analyzer.js
├── rules.js
├── background.js
├── content.js
├── icons/
└── README.md
玄镜 AegisScope V1.0.0
为授权前端安全测试、代码资产分析和漏洞审计而生。