# exceed

**Repository Path**: wolfking24/exceed

## Basic Information

- **Project Name**: exceed
- **Description**: No description available
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: main
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2025-10-14
- **Last Updated**: 2025-10-14

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# Web权限越权检测工具

一个功能强大的浏览器扩展程序，专门用于检测Web系统中的权限越权漏洞，适用于Web渗透测试。

## 🔒 功能特性

### 核心功能
- **水平越权检测**: 检测用户是否可以访问其他用户的资源
- **垂直越权检测**: 检测低权限用户是否可以执行高权限操作
- **智能分析**: 自动分析HTTP响应，判断是否存在越权漏洞
- **实时监控**: 监控网络请求，自动发现潜在的权限问题

### 高级功能
- **自动发现**: 自动检测页面中的API端点、表单字段和权限检查逻辑
- **批量测试**: 支持批量测试多个用户ID或权限参数
- **结果导出**: 生成详细的测试报告，支持多种格式导出
- **友好界面**: 直观的用户界面，操作简单易懂

<img width="1464" height="629" alt="1c813aec4da940afa3194098460c3a26" src="https://github.com/user-attachments/assets/0ccf5248-8b4e-4d0d-bdfc-5fbbac4ca0b7" />

## 🚀 安装方法

### 方法一：开发者模式安装
1. 下载或克隆此项目到本地
2. 打开Chrome浏览器，进入 `chrome://extensions/`
3. 开启右上角的"开发者模式"
4. 点击"加载已解压的扩展程序"
5. 选择项目文件夹
6. 扩展程序安装完成

### 方法二：打包安装
1. 在开发者模式下点击"打包扩展程序"
2. 选择项目文件夹生成.crx文件
3. 将.crx文件拖拽到扩展程序页面进行安装

## 📖 使用指南

### 基本使用流程

1. **打开目标网站**
   - 访问需要进行权限测试的Web应用
   - 确保已登录到测试账户

2. **点击扩展图标**
   - 在浏览器工具栏中点击扩展图标
   - 弹出权限检测工具界面

3. **选择检测类型**
   - **水平越权**: 测试是否可以访问其他用户的资源
   - **垂直越权**: 测试是否可以执行高权限操作

### 水平越权检测

1. 切换到"水平越权"标签页
2. 填写检测参数：
   - **目标URL模式**: 例如 `/api/user/{id}/profile`
   - **参数名称**: 例如 `userId` 或 `id`
   - **测试值范围**: 设置要测试的ID范围
   - **请求方法**: 选择HTTP方法
3. 点击"开始检测"
4. 查看检测结果

### 垂直越权检测

1. 切换到"垂直越权"标签页
2. 填写检测参数：
   - **目标URL**: 高权限功能的API地址
   - **权限提升参数**: 要测试的权限参数
   - **请求方法**: 选择HTTP方法
   - **自定义请求头**: 添加特殊的请求头
3. 点击"开始检测"
4. 查看检测结果

### 结果分析

1. 切换到"检测结果"标签页
2. 查看统计信息：
   - 总测试数
   - 发现漏洞数
   - 成功率
3. 查看详细结果：
   - 每个测试的详细情况
   - 漏洞类型和严重程度
   - 建议的修复方案

## 🛠️ 高级功能

### 自动检测
扩展程序会自动检测页面中的：
- API端点
- 表单权限字段
- JavaScript权限检查
- 本地存储权限信息

### 网络监控
后台服务会监控所有网络请求，自动发现：
- URL中的权限参数
- 请求体中的权限数据
- 响应头中的权限信息
- 可疑的访问模式

### 报告导出
支持多种格式的报告导出：
- 文本格式 (.txt)
- 复制到剪贴板
- 详细的分析结果

## ⚠️ 使用注意事项

### 法律声明
- **仅用于授权的渗透测试**
- 请确保您有权限对目标系统进行测试
- 不要用于非法目的或未经授权的测试
- 遵守相关法律法规和道德准则

### 最佳实践
1. **测试前准备**
   - 确保有明确的测试授权
   - 备份重要数据
   - 在测试环境中进行

2. **测试过程中**
   - 记录所有测试步骤
   - 不要进行破坏性操作
   - 及时报告发现的问题

3. **测试后处理**
   - 清理测试数据
   - 生成详细报告
   - 协助修复发现的问题

## 🔧 技术架构

### 文件结构
```
├── manifest.json          # 扩展程序配置文件
├── popup.html             # 弹出窗口界面
├── popup.css              # 界面样式
├── popup.js               # 弹出窗口逻辑
├── content.js             # 内容脚本
├── injected.js            # 注入脚本
├── background.js          # 后台服务脚本
├── icons/                 # 图标文件夹
│   ├── icon16.png
│   ├── icon32.png
│   ├── icon48.png
│   └── icon128.png
└── README.md              # 使用说明
```

### 核心组件
- **Popup界面**: 用户交互界面
- **Content Script**: 页面内容检测
- **Background Service**: 后台服务和网络监控
- **Injected Script**: 高级页面分析

## 🐛 常见问题

### Q: 扩展程序无法正常工作？
A: 请检查：
- 是否在开发者模式下安装
- 目标网站是否支持扩展程序
- 浏览器控制台是否有错误信息

### Q: 检测结果不准确？
A: 可能的原因：
- 目标网站有反爬虫机制
- 网络连接不稳定
- 权限控制逻辑复杂

### Q: 如何提高检测准确性？
A: 建议：
- 使用真实的测试账户
- 在测试环境中进行
- 结合手动测试验证结果

## 📝 更新日志

### v1.0.0 (2024-01-01)
- 初始版本发布
- 支持水平和垂直越权检测
- 提供友好的用户界面
- 支持结果导出功能

## 🤝 贡献指南

欢迎提交Issue和Pull Request来改进这个工具：

1. Fork 项目
2. 创建功能分支
3. 提交更改
4. 推送到分支
5. 创建Pull Request

## 📄 许可证

本项目采用MIT许可证，详见LICENSE文件。

## 📞 联系方式

如有问题或建议，请通过以下方式联系：
- 提交GitHub Issue
- 发送邮件至开发者

---

**免责声明**: 此工具仅用于授权的安全测试。使用者需自行承担使用责任，开发者不对任何误用或滥用行为负责。