DenisPodgurskii/pentestkit
GitHub: DenisPodgurskii/pentestkit
一款集成 DAST/IAST/SAST 多种测试能力的浏览器扩展,让渗透测试人员在浏览器内即可完成漏洞发现、流量分析和请求篡改等全流程安全测试。
Stars: 187 | Forks: 35
# OWASP 渗透测试工具包 (PTK)
[](https://www.bestpractices.dev/projects/11838)
**OWASP 渗透测试工具包 (PTK)** 浏览器扩展是您简化日常 AppSec 任务的一体化解决方案。无论您是渗透测试人员、红队成员还是 AppSec 从业者,OWASP PTK 都能提高您的效率,并为您的目标应用提供深入的洞察。
**核心功能:**
* **运行时扫描 (DAST & IAST & SAST & SCA):**
即时执行动态应用程序安全测试、静态分析、浏览器内 IAST 和软件成分分析。识别 SQL 注入、命令注入、反射型/存储型 XSS、SQL 认证绕过、XPath 注入、JWT 攻击以及其他复杂威胁。
* **静态分析 (SAST):**
PTK 会在您的浏览器中自动解析已加载的 JavaScript、HTML 和 CSS——在任何代码运行之前。它会标记不安全的模式,例如 `eval()`、`innerHTML`/`outerHTML` 注入、不安全的加密调用、缺乏输入净化以及常见的反模式。
* **浏览器内 IAST (交互式应用安全测试):**
PTK 的内置 IAST 引擎在运行时(直接在浏览器中)对您的应用进行插桩——跟踪污点流和代码执行,以便在漏洞出现时将其标记出来。无需离开开发者工具即可捕获基于 DOM 的 XSS、不安全的 `eval`/`innerHTML` 使用、开放重定向等问题。
* **JWT 检查器:**
分析、构建和篡改 JSON Web Token。生成密钥、测试空签名、暴力破解 HMAC 密钥以及注入恶意的 `jwk`、`jku` 或 `kid` 参数。
* **深入的应用信息:**
一键查看技术栈、WAF、安全标头、抓取的链接和认证流程。
* **内置代理和流量日志:**
捕获所有 HTTP(S) 流量,在 R-Builder 中重放请求,并自动执行 XSS、SQLi 和 OS 命令注入。
* **用于请求篡改和走私的 R-Builder:**
构建和操控 HTTP 请求,包括复杂的请求走私技术。现已支持 cURL 导入/导出。
* **Cookie 管理:**
通过强大的浏览器内编辑器添加、编辑、移除、阻止、保护、导出和导入 Cookie。
* **解码器/编码器工具:**
在 UTF-8、Base64、MD5、URL 编码/解码等格式之间即时转换。
* **Selenium 集成:**
通过运行内置漏洞检查的自动化 Selenium 测试,实现安全左移。
使用 PTK 增强您的 AppSec 实践——这款扩展让您的浏览器更智能,测试更快速。立即安装,开始实时发现漏洞!
## 开发
```
git clone git@github.com:DenisPodgurskii/pentestkit.git
cd pentestkit
npm install
npm run build
```
Chrome/Edge/Brave -> 扩展程序 -> 加载已解压的扩展程序 -> 选择 pentestkit/src 目录
或者运行
```
npm run build_pkg
```
这将在 pentestkit/dist 文件夹中创建 zip 归档文件
在 Windows 构建上,您可能会在构建过程中遇到错误。在这种情况下,请尝试先执行以下命令。
```
npm install --ignore-scripts fomantic-ui
```
## 安装
[Firefox](https://addons.mozilla.org/en-US/firefox/addon/penetration-testing-kit/)
[Chrome](https://chrome.google.com/webstore/detail/penetration-testing-kit/ojkchikaholjmcnefhjlbohackpeeknd)
[MS Edge](https://microsoftedge.microsoft.com/addons/detail/penetration-testing-kit/knjnghhnhcpcglfdjppffbpfndeebkdm)
## 文档 / 使用指南
[网站](https://pentestkit.co.uk/howto.html)
## 支持
如有问题、错误报告和功能请求,请使用 **GitHub Issues**:
https://github.com/DenisPodgurskii/pentestkit/issues
## Youtube 频道
[Youtube 频道](https://www.youtube.com/channel/UCbEcTounPkV1aitE1egXfqw)
## BrowserStack
此项目已通过 BrowserStack 测试
标签:C2日志可视化, CISA项目, DAST, DevSecOps, Edge扩展, Firefox扩展, HTTP流量分析, IAST, JSON Web Token, JWT, MITM代理, OWASP Top 10, Red Team, SAST, TypeScript, Web安全, XSS, 上游代理, 云安全监控, 交互式安全测试, 代理工具, 反取证, 命令注入, 安全专业人员, 安全插件, 安全评估, 恶意软件分析, 指纹识别, 数据可视化, 数据展示, 暗色界面, 浏览器扩展, 漏洞情报, 盲注攻击, 红队, 网络安全, 自定义脚本, 蓝队分析, 请求重放, 跨站脚本攻击, 隐私保护, 静态分析