🚀 新一代SRC漏洞挖掘浏览器扩展
<a href="https://github.com/Team-intN18-SoybeanSeclab/Phantom"><strong>📖 探索文档 »</strong></a>
<a href="https://github.com/Team-intN18-SoybeanSeclab/Phantom/issues">🐛 报告Bug</a>
·
<a href="https://github.com/Team-intN18-SoybeanSeclab/Phantom/issues">✨ 请求功能</a>
幻影是一款专为SRC漏洞挖掘场景设计的浏览器扩展工具,采用现代化的技术架构,为安全研究人员提供高效、智能的页面信息收集解决方案。
📸 点击查看基础扫描演示图

自动提取页面内的各类敏感信息: - API接口: 绝对路径、相对路径、RESTful接口 - 网络资源: URL、域名、子域名、端口、路径参数 - 文件资源: JS文件、CSS文件、图片、音视频 - 敏感数据: 邮箱、手机号、IP地址、JWT令牌、认证信息 - 安全凭证: AWS密钥、GitHub令牌、API密钥等
📸 点击查看深度扫描演示图

📸 点击查看API测试演示图

📸 点击查看数据导出演示图

📸 点击查看自定义配置演示图
![]()
下载项目
bash
git clone https://github.com/Team-intN18-SoybeanSeclab/Phantom.git
打开浏览器扩展页面
chrome://extensionsEdge: edge://extensions
启用开发者模式
📸 点击查看开发者模式演示图
<img src="https://via.placeholder.com/600x300/f8f9fa/212529?text=启用开发者模式" alt="开发者模式" width="600"/>
加载扩展 点击"加载已解压的扩展程序",选择项目文件夹
开始使用 点击浏览器工具栏中的幻影图标即可开始使用
📋 点击查看快速扫描步骤
📋 点击查看深度扫描步骤
📋 点击查看API测试步骤
| 分类 | 说明 | 示例 |
|---|---|---|
absoluteApis |
绝对路径API | https://api.example.com/users |
relativeApis |
相对路径API | /api/v1/users |
urls |
完整URL | https://example.com/page |
domains |
域名信息 | example.com |
subdomains |
子域名 | api.example.com |
jsFiles |
JavaScript文件 | /static/app.js |
cssFiles |
CSS样式文件 | /static/style.css |
images |
图片资源 | /img/logo.png |
| 分类 | 说明 | 示例 |
|---|---|---|
emails |
邮箱地址 | admin@example.com |
phoneNumbers |
手机号 | 13800138000 |
ipAddresses |
IP地址 | 192.168.1.1 |
jwts |
JWT令牌 | eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... |
awsKeys |
AWS密钥 | AKIAIOSFODNN7EXAMPLE |
githubTokens |
GitHub令牌 | ghp_xxxxxxxxxxxxxxxxxxxx |
credentials |
认证凭证 | username:password |
| 分类 | 说明 |
|---|---|
paths |
路径信息 |
parameters |
URL参数 |
ports |
端口信息 |
comments |
代码注释 |
companies |
公司名称 |
cryptoUsage |
加密算法使用 |
💻 点击查看代码示例
// 示例:自定义API规则
const customApiRegex = /\/api\/v[0-9]+\/[a-zA-Z]+/g;
// 示例:自定义敏感信息
const customSensitiveRegex = /password[=:]\s*[\'"]?([^\'"\s]+)/gi;
🔍 点击查看详细解决方案
可能原因: - 目标为系统页面(chrome://、chrome-extension://) - 页面首次扫描后5分钟内处于静默节流期 - 自定义规则过于严格或存在错误
解决方案: - 确保在普通网页上进行扫描 - 手动点击"开始扫描"强制触发 - 检查设置中的自定义正则规则
🔍 点击查看详细解决方案
可能原因: - 目标站点需要认证授权 - 并发数设置过高导致请求失败 - 网络超时时间设置过短
解决方案: - 在设置中添加目标站点的Cookie - 适当降低并发数(建议5-10个) - 增加网络超时时间(建议10秒以上)
🔍 点击查看详细解决方案
解决方案: - 确保使用支持XML格式的Excel版本 - 如提示编码问题,选择UTF-8编码 - 可尝试使用JSON格式导出
🔍 点击查看详细优化建议
优化建议: - 降低深度扫描的并发数 - 减少最大扫描深度 - 关闭不必要的扫描选项
我们欢迎社区成员参与项目贡献!
git checkout -b feature/AmazingFeature)git commit -m 'Add some AmazingFeature')git push origin feature/AmazingFeature)D3f4ultX、findsomething、SnowEyes、0xsdeo、hama、zeroqing
隼目安全、知攻善防实验室、零羊Web、表哥带我
本项目采用Apache-2.0许可证 - 查看 LICENSE 文件了解详情。
幻影 (Phantom)
让SRC漏洞挖掘更高效、更智能
<a href="https://github.com/Team-intN18-SoybeanSeclab/Phantom">
<img src="https://img.shields.io/badge/⭐-Star%20This%20Project-blue" alt="Star">
</a>
<a href="https://github.com/Team-intN18-SoybeanSeclab/Phantom/fork">
<img src="https://img.shields.io/badge/🍴-Fork%20This%20Project-green" alt="Fork">
</a>
$ claude mcp add Phantom \
-- python -m otcore.mcp_server <graph>