Storage Inspector:一款Chrome浏览器扩展,可视化当前页面的Cookies、LocalStorage、SessionStorage
|
admin
2026年7月15日 9:48
本文热度 34
|
在日常渗透测试或安全评估中,想必各位师傅也遇到以下困扰:1.想在浏览器里快速查看当前站点的所有Cookie、本地浏览器存储情况,却只能打开开发者工具层层翻找,效率低下,且需人工判断是否合规。2.核查浏览器存储里的某个值,来验证后端是否过度信任客户端数据,在开发者工具中不便于操作。3.想核对Cookie 缺少Secure、HttpOnly、SameSite标记,哪些包含敏感信息的Token被明文存在前端。Storage Inspector 正是为解决这些问题而生的一款 Chrome 浏览器扩展,专为白帽子和安全工程师设计。插件将当前页面的Cookies、LocalStorage、SessionStorage 以表格形式清晰展示,标签页一键切换。Cookies:完整展示名称、值、域、路径、过期时间、Secure、HttpOnly、SameSite 等所有属性,方便直接判断安全性。LocalStorage\SessionStorage:展示所有键值对,点击展开查看全貌,查阅是否存在敏感信息。点击任意一行右侧的“编辑”按钮,即可在弹出的模态框中修改存储值。Cookie编辑:可直接修改值、过期时间,自由开启或关闭 Secure、HttpOnly,调整 SameSite 策略。保存后写入浏览器,无需刷新即可在后续请求中生效。LocalStorage\SessionStorage 编辑:支持修改键名和值,保存后注入当前页面执行,刷新页面后将使用新值。可用于越权测试、逻辑绕过、令牌篡改验证等场景,非常方便操作。插件内置了敏感信息规则库和安全配置检查逻辑,会在每一行存储项的最后一列给出风险提示。敏感信息标记:自动识别token、jwt、secret、api_key、password、session 等关键字段,并将其所在行高亮为橙色。SameSite=None但Secure=false,提示高危;Storage 风险:若在 LocalStorage或SessionStorage中发现敏感数据,会直接提示风险。将 Cookie 中的 user_id 从 100 改为 101,或 role 从 user 改为 admin,然后刷新页面或触发相关功能,观察是否能够访问他人的数据或管理接口。核查Token、密钥、Session ID 被明文存储在 LocalStorage 中,敏感信息直观展示。自动扫描所有 Cookie 的 Secure、HttpOnly、SameSite 属性,对不符合安全最佳实践的项进行高亮告警,适用于上线前的安全检查或定期合规审计。修改LocalStorage中的某个标志位如isadmin,验证前端是否完全依赖该值控制功能展示,从而发现潜在的客户端绕过后端校验的逻辑漏洞。
安装方法
阅读原文:https://mp.weixin.qq.com/s/sTblY7DkywtQhj0pM1oWaw
该文章在 2026/7/15 9:48:08 编辑过