avihayf/PhoenixBox

GitHub: avihayf/PhoenixBox

一款 Firefox 多容器安全测试扩展,通过会话隔离、代理路由和 Burp Suite 流量高亮帮助安全测试人员并行管理不同角色的测试环境。

Stars: 5 | Forks: 0

# PhoenixBox [![License](https://img.shields.io/badge/License-MPL%202.0-blue.svg)](https://opensource.org/licenses/MPL-2.0) [![Version](https://img.shields.io/badge/version-3.0.0-green.svg)](https://github.com/avihayf/PhoenixBox/releases) **在 Firefox 中并行运行不同的会话,创建你想要的任何自定义容器,将正确的流量通过 Burp 路由并高亮你的流量,从而在没有会话冲突的情况下更快地进行测试。** https://github.com/user-attachments/assets/a523d122-7a06-4dc4-a637-e08beb440f68 ## 快速开始 1. 从 [Firefox Add-ons (AMO)](https://addons.mozilla.org/firefox/addon/phoenix-box/) 安装 PhoenixBox,或者从 [Releases](https://github.com/avihayf/PhoenixBox/releases) 下载 `PhoenixBox.xpi`。 2. 打开 PhoenixBox 弹出窗口,开始使用内置的 Attacker、Victim、Admin 和 Member 容器进行测试。 3. 要使用 Burp 高亮功能,还需在 Burp Suite 中安装 `PhoenixBoxHighlighter.jar` 并启用 **PhoenixBox Highlighter**。 ## 功能 - **开箱即用的容器** — Attacker、Victim、Admin、Member 随系统自带。你可以根据需要创建任意数量的自定义容器。 - **代理路由(全局 + 每个容器)** — 将所有流量通过 Burp 发送,或者仅将某一个角色的流量通过代理路由,同时保持其他流量干净。保存自定义预设并一键切换。 - **User-Agent 伪装** — 全局或针对每个容器切换浏览器身份。从实时前 100 名列表(桌面端、移动端、全部)中选择,粘贴自定义字符串,或保存预设以便快速切换。 - **Burp Suite 高亮** — `X-MAC-Container-Color` header 允许随附的 JAR 文件按容器对 HTTP 历史记录进行颜色编码,让你立即看到是哪个角色发出的每个请求。 - **站点分配** — 将域名锁定到某个容器,它将始终在该容器中打开。不再出现“错误会话”的意外。 - **完全的会话隔离** — cookies、存储和缓存在不同容器之间保持隔离。零泄露。 - **Mozilla VPN 集成** — 将特定容器通过 VPN 路由,而其他容器则直接连接。 - **深色/浅色主题、强调色、键盘快捷键** — 打造属于你的专属体验。 - **专注于安全的图标**(skull、user-x、user-cog、user-minus)— 在 PhoenixBox UI 中正确显示;Firefox 的 URL 栏会回退到 **fingerprint**,因为自定义图标不属于原生的 `contextualIdentities` API。 ## 安装说明 ### 最终用户 适用于任何 Firefox 版本(正式版、ESR、开发者版或 Nightly)。 **选项 A — Firefox Add-ons(推荐):** 在 [addons.mozilla.org](https://addons.mozilla.org) 上搜索“PhoenixBox”并点击 **Add to Firefox**。 **选项 B — 从 GitHub Releases 手动安装:** 1. 从 [GitHub Releases](https://github.com/avihayf/PhoenixBox/releases) 下载 `PhoenixBox.xpi`,并从 [PhoenixBox-Highlighter releases 页面](https://github.com/avihayf/PhoenixBox-Highlighter/releases/tag/v1.1.0) 下载 `PhoenixBoxHighlighter.jar`。 2. 将 `PhoenixBox.xpi` 拖入 Firefox 并确认安装提示。 3. 如果需要,固定 PhoenixBox 工具栏图标。 如果你想集成 Burp,还需在 Burp Suite 中安装 `PhoenixBoxHighlighter.jar`: 1. 打开 Burp Suite。 2. 转到 **Extender** → **Extensions** → **Add**。 3. 选择 **Java** 作为扩展类型。 4. 选择 `PhoenixBoxHighlighter.jar`。 5. 点击 **Next** 并验证“PhoenixBox”是否成功加载。 ### 开发者 ``` git clone https://github.com/avihayf/PhoenixBox.git cd PhoenixBox npm install npm run build ``` 然后加载构建好的扩展: 1. 打开 Firefox Developer Edition。 2. 转到 `about:debugging#/runtime/this-firefox`。 3. 点击 **Load Temporary Add-on**。 4. 选择 `dist/manifest.json`。 ## 如何使用 1. 点击 PhoenixBox 工具栏图标。 2. 使用预配置的容器或创建你自己的容器。 3. 在不同的容器中打开标签页,以分离角色、会话和身份。 4. 将站点分配给容器,以便重要的目标始终在正确的上下文中重新打开。 5. 可选择启用代理、User-Agent 覆盖、Mozilla VPN 或 Burp 高亮。 流行的工作流程: - 在特定容器中打开新标签页 - 始终在同一个容器中打开某个站点 - 通过全局代理开关将所有流量通过 Burp 路由 - 使用每个容器的设置,仅将某一个角色的流量通过代理路由 - 全局或针对每个容器伪装 User-Agent — 从前 100 名列表中选择、粘贴自定义字符串或加载已保存的预设 - 清除 cookies/存储以重置测试流程 ## Burp Suite 集成 PhoenixBox 可以向请求添加 `X-MAC-Container-Color` header,以便 Burp 能够按容器角色直观地分离流量。 基本设置: 1. 从 [PhoenixBox-Highlighter releases 页面](https://github.com/avihayf/PhoenixBox-Highlighter/releases/tag/v1.1.0) 下载并安装 `PhoenixBoxHighlighter.jar` 到 Burp Suite 中,通过 **Extender → Extensions → Add** 进行。 2. 配置 Firefox 将流量通过 Burp 发送。 3. 在 PhoenixBox 中启用 **Add container color header**。 4. 在不同的容器中浏览并检查 Burp HTTP 历史记录。 Burp 随附扩展程序会在请求到达目标服务器之前移除该 header。 ## 了解更多 - [功能](docs/FEATURES.md) - [安装指南](docs/INSTALLATION.md) - [Burp Suite 设置](docs/BURP_SUITE_SETUP.md) ## 使用场景 - **隔离每一个会话**,使得登录状态、cookies 和存储永远不会在目标或测试账户之间发生泄露 - **并行测试不同的权限级别**,使用独立的 Attacker、Victim、Admin 和 Member 流程 - **以不同用户的身份重放相同的工作流程**,无需整天频繁登录和登出 - **将特定角色通过 Burp 或其他代理进行路由**,同时保持其余浏览活动的干净 - **按需伪装 User-Agents** — 将一个容器切换为移动端字符串,另一个保持桌面端,或者保存预设以便一键切换 - **在 Burp 中以可视化的方式追踪流量**,让你立即知道是哪个容器、角色或场景产生了每个请求 ## 隐私与安全 没有遥测,没有数据收集。有关数据处理、代理密码存储、容器颜色 header 和同步行为的完整详细信息,请参阅 [PRIVACY.md](PRIVACY.md)。 ## 支持 - 🐛 [报告问题](https://github.com/avihayf/PhoenixBox/issues) - 💬 [讨论](https://github.com/avihayf/PhoenixBox/discussions) - 📧 联系方式:参见 GitHub 个人资料 ## 许可证 Mozilla Public License 2.0 - 详情请参阅 [LICENSE](LICENSE) 文件。
标签:MITM代理, Web安全, 会话管理, 安全测试, 攻击性安全, 数据可视化, 流量代理, 浏览器扩展, 自动化攻击, 蓝队分析