OWASP Penetration Testing Kit一站式浏览器扩展。集成技术识别、WAF检测、安全标头检查等功能,可自动进行XSS、SQL注入攻击测试,全方位助力渗透测试员高效开展工作,是渗透测试领域不可或缺的得力助手
关键功能:
浏览器内运行时扫描:PTK提供动态应用程序安全测试(DAST)和软件组成分析(SCA)扫描,并在您的浏览器中扫描。检测SQL注射,命令行注射,存储和反映的跨站点脚本(XSS)漏洞等等。它甚至确定了SQL身份验证旁路,XPATH注射和JWT攻击等复杂威胁。
JWT检查员:我们添加了一个关键的新功能 - JWT Inspector。它使您能够分析JSON Web代币(JWT),构建新令牌,并为JWT签名生成公共和私钥。 PTK轻松进行了许多JWT攻击,包括无效签名,无算法,蛮力HMAC Secret,键/算法混乱,JWK注入,JKU注入和儿童参数注射。
洞察力信息:一键式访问有关目标应用程序的洞察信息,包括其技术堆栈,Web应用程序防火墙(WAFS),安全标头,爬行链接和身份验证流。
带有流量日志的代理:PTK包括一个带有详细流量日志的代理。此日志使您可以重复R-builder中的任何请求或将其发送给R-Attacker。您可以自动执行跨站点脚本(XSS),SQL注入或OS命令注射。
r构建器要求篡改和要求走私:
该扩展程序包括R-builder,这是一种功能强大的工具,可精确地制作和操纵HTTP请求。使用R-Builder修改并篡改请求,使您能够测试应用程序安全性的稳健性。 R-Builder授权您执行复杂的操作,包括HTTP请求走私攻击,以全面评估应用程序漏洞。现在,有了卷曲的支持 - 复制或粘贴卷曲请求并在一秒钟内执行。
Cookie Management:扩展程序包括cookie编辑器,使您可以有效地管理cookie。轻松添加,编辑,删除,阻止,保护,导出和导入cookie。
解码器/编码器实用程序:集成实用程序可帮助您管理和解码各种格式的编码和解码,包括UTF-8,Base64,MD5等。
Swagger.io集成:我们已经集成了Swagger.io,以增强您对API文档的理解。轻松创建请求与API端点交互。
硒整合:随着硒的整合,PTK有助于在开发周期的早期阶段确定安全风险,从而确保从一开始就确保了稳健的安全性。
使用PTK增强应用程序安全实践,PTK是使您的浏览器更聪明的浏览器扩展程序。无论您是需要发现漏洞,分析JWT令牌还是优化安全工作流程,PTK都可以覆盖您。立即尝试一下,将您的应用程序安全性提升到一个新的水平。
插件安装说明
1、在打开的谷歌浏览器的扩展管理器
就是点击最左侧的三个点,在弹出的菜单中选择【更多工具】——【扩展程序】
或者你可以在地址栏中直接输入chrome://extensions/
2、进入扩展程序页面后将开发者模式打勾
3、最后将解压出来的crx文件拖入到浏览器中即可安装添加
4、如果出现无法添加到个人目录中的情况,可以将crx文件右键,然后选择【管理员取得所有权】,再尝试重新安装
5、安装好后即可使用
扫码关注公众号,发【识别码】获取
