EzHelper 浏览器插件助手

EzHelper 助手插件是由 EZ Team 开发的一个辅助渗透测试的浏览器插件。

目前主要功能是将浏览器访问的流量上传到 EZ 后端进行指纹识别、漏洞扫描等操作，并支持结果的实时查看。

与传统的被动扫描方式（设置系统代理或使用浏览器代理插件）不同的是，使用该插件可以无需安装 SSL 证书，并且支持设置黑白名单等多种过滤条件。

流量上传到 EZ 后端的动作为异步进行，不影响用户对目标网站的正常功能访问，用户也可以同时使用其它的浏览器代理插件到 Burp 进行人工测试等。

EzHelper的使用

插件下载

EzHelper.zip

支持 EzHelper 的 EZ 版本：

• 内部版本为 ez >= 1.9.0
• 社区版本为 ez >= 1.8.8

插件安装

1. 将EzHelper.zip解压到EzHelper文件夹
2. 打开Chrome浏览器插件管理界面（扩展程序-->管理扩展程序）
3. 打开“管理扩展程序”页面中的“开发者模式”
4. 点击“加载已解压的扩展程序”
5. 进入EzHelper文件夹并加载（注意，选择的文件夹需要包含manifest.json）
6. 安装成功后会自动打开ez配置界面，接下来就是获取和配置EZ API和EZ Token

获取和配置EZ API和Token

1. 命令行启动ez web,如: ./ez web
2. 在项目管理中，选择“项目详情”，复制有效的“项目Token”；Token默认有效期为 5 天，过期后需在目详情页面点击更新Token。
3. 将EZ Web的url根目录和项目Token填入到EzHelper插件配置项中，URL一般形如 http://127.0.0.1:8888/

结果查看

扫描结果可通过以下两种方式查看:

• 点击插件图标->查看结果
• ez web->指纹/漏洞页面，选择相应的项目进行查看

EzHelper的配置说明

被动流量代理

支持漏洞扫描、指纹识别，无需设置SSL证书，流量异步发送

• 白名单主机列表（仅发送命中白名单主机的流量，支持*通配符）
• 黑名单主机列表（不发送命中黑名单主机的流量，支持*通配符）
• 过滤危险的请求方法（如DELETE）
• 过滤危险路径（如logout、delete）
• 过滤不需要扫描的资源后缀
• 每次发送到ez服务端的url数量

Todo

• 指纹、漏洞结果展示
• 越权漏洞扫描配置

EzHelper界面预览

模式切换

选项配置

结果查看

打赏开发团队

感谢您使用EzHelper助手插件！如果该插件帮您提高了工作效率，可以请作者喝杯咖啡，欢迎扫描下方二维码赞助我们，让我们一起不断改进和发展！🙌