OWASP Penetration Testing Kit

OWASP 渗透测试套件

OWASP 渗透测试工具包 (PTK) 浏览器扩展是您简化日常 AppSec 任务的一体化解决方案。无论您是渗透测试人员、红队成员还是 AppSec 从业者，OWASP PTK 都可以提高您的效率并提供对目标应用程序的深入洞察。

主要特点：

运行时扫描（DAST & IAST & SAST & SCA）：
动态执行动态应用程序安全测试、静态分析、浏览器内 IAST 和软件组合分析。识别 SQL 注入、命令注入、反射/存储 XSS、SQL 身份验证绕过、XPath 注入、JWT 攻击和其他复杂威胁。

静态分析（SAST）：
PTK 会在任何代码运行之前自动解析浏览器中加载的 JavaScript、HTML 和 CSS。它标记了诸如“eval()”、“innerHTML”/“outerHTML”注入、不安全的加密调用、缺少输入清理和常见反模式等不安全模式。

浏览器内 IAST（交互式应用程序安全测试）：
PTK 的内置 IAST 引擎在运行时（就在浏览器中）检测您的应用程序，跟踪污点流和代码执行，以在漏洞发生时标记它们。无需离开您的开发工具即可捕获基于 DOM 的 XSS、不安全的 `eval`/`innerHTML` 使用、开放重定向等问题。

智威汤逊检验员：
分析、制作和篡改 JSON Web 令牌。生成密钥、测试空签名、暴力破解 HMAC 机密以及注入恶意“jwk”、“jku”或“kid”参数。

富有洞察力的应用信息：
一键查看技术堆栈、WAF、安全标头、爬网链接和身份验证流程。

内置代理和流量日志：
捕获所有 HTTP(S) 流量，在 R-Builder 中重放请求，并自动执行 XSS、SQLi 和操作系统命令注入。

用于请求篡改和走私的 R-Builder：
制作和操作 HTTP 请求，包括复杂的请求走私技术。现在可以使用 cURL 导入/导出。

Cookie 管理：
从强大的浏览器内编辑器添加、编辑、删除、阻止、保护、导出和导入 cookie。

解码器/编码器实用程序：
在 UTF-8、Base64、MD5、URL 编码/解码和更多格式之间即时转换。

Swagger.IO 集成：
直接从 Swagger 文档浏览 API 端点并与之交互。

硒集成：
通过运行带有内置漏洞检查的自动化 Selenium 测试来降低安全性。

使用 PTK 增强您的 AppSec 实践——该扩展使您的浏览器更加智能，测试速度更快。立即安装并开始实时发现漏洞！