⚠️本博文所涉安全渗透测试技术、方法及案例，仅用于网络安全技术研究与合规性交流，旨在提升读者的安全防护意识与技术能力。任何个人或组织在使用相关内容前，必须获得目标网络 / 系统所有者的明确且书面授权，严禁用于未经授权的网络探测、漏洞利用、数据获取等非法行为。

前言

OneScan是一款面向BurpSuite的递归目录扫描插件，最初开发目的是批量挖掘隐藏Swagger接口文档，后续迭代新增敏感目录泄漏、未授权/越权自动化检测能力。

现有两个开源版本：

1. 原版 vaycore/OneScan（https://github.com/vaycore/OneScan）：初代开源项目，作者停更，最高版本v1.7.0，纯Java开发、无额外环境依赖，仅保留基础目录扫描，无法解析JS动态渲染页面，不支持前端防重放站点扫描；
2. 扩展版 Zmz-c/OneScan_Expand（https://github.com/Zmz-c/OneScan_Expand）【本文主推】：基于原版源码二次深度开发，依赖Python环境+Chrome/Edge浏览器，新增无头浏览器渲染引擎、扩充海量指纹库、优化请求处理逻辑、完善SpringBoot专项探测，可绕过前端JS校验、Cookie防重放限制，是目前SRC挖洞、实战渗透首选版本。

一、插件前置环境部署+Burp安装配置

⚠️重点：OneScan_Expand必须提前部署Python运行环境+主流浏览器，原版无此要求，环境配置错误会导致无头渲染功能失效、JS页面扫描漏报。

1.1 前置环境：Python+依赖+Chrome配置

1.1.1 Python环境安装

1. 推荐安装 Python3.8及以上64位版本，安装时勾选Add Python to PATH自动配置系统环境变量；
2. 打开CMD/终端，校验环境：

python --version
pip --version

1.1.2 一键安装扩展版所需Python依赖

OneScan_Expand依靠DrissionPage/Selenium实现无头浏览器调度，执行pip命令批量安装依赖：

pip install DrissionPage

1.1.3 Chrome/Edge浏览器准备

1. 本地安装正式版Chrome或Edge浏览器（不推荐绿色便携版）；
2. 插件内可手动填写浏览器exe绝对路径，无需手动下载ChromeDriver，新版DrissionPage自动适配驱动版本；
3. 记录浏览器安装路径（例：C:\Program Files\Google\Chrome\Application\chrome.exe），后续插件配置可能需要填写。

1.2 获取扩展版Jar包

从仓库Release页面下载最新OneScan_Expand-xxx.jar成品包。
https://github.com/Zmz-c/OneScan_Expand/releases

1.3 Burp加载插件步骤

1. 打开BurpSuite，顶部切换至Extensions→Installed，点击右上角Add按钮
2. 在弹窗Load Burp extension内点击Select file...，选中下载好的OneScan_Expand-xxx.jar文件
3. 点击Next，下方控制台输出插件版本信息、无报错提示=加载成功

1.4 插件内配置Python+浏览器路径（扩展版独有步骤）

1. 进入OneScan面板→【插件配置】→【请求配置】；
2. 分别填入：本地python.exe全路径、Chrome/Edge浏览器exe全路径，不填则使用系统默认配置；
3. 点击「环境检测」，提示环境校验通过即配置完成，无头渲染功能生效。

二、OneScan_Expand核心功能详解

所有功能总开关统一在OneScan【数据看板】

2.1 主动目录扫描｜定向单URL手动扫描

适用场景：单独测试某个接口、指定路径目录爆破，扩展版可使用「浏览器扫描」解析动态页面。

1. OneScan数据看板开启【目录扫描】开关默认开

2. 在Burp Proxy/Repeater右键目标请求 → OneScan → 发送到OneScan扫描（2种方式可选）
   

3. 扫描结果实时展示在OneScan数据列表（来源、请求方式、主机、路径、标题、IP、状态码）

2.2 被动代理监听扫描｜全站自动批量扫

适用场景：浏览器挂代理访问站点，自动抓取全站流量批量递归扫描目录，JS SPA网站必备无头渲染。

1. OneScan【插件配置】→【主机配置】配置黑白名单：

   • 主机允许列表：填写*.xxx.com（仅扫描目标域名），空=不限制；
   • 主机阻止列表：填写*.github.*、*.google.*过滤无用域名
     

2. 数据看板默认同时开启【监听代理请求】+【目录扫描】双开关
   

3. 浏览器配置Burp代理，正常浏览目标网站，代理流量自动送入插件进行目录爆破

2.3 移除请求头｜自动化未授权漏洞探测

原理：插件自动剔除Cookie、Authorization鉴权头，复用原路径测试无鉴权访问。

1. OneScan【插件配置】→【请求配置】→【移除请求头】，添加Cookie等字段
   

2. 数据看板打开【移除请求头】开关；
   

3. 用法：①单包右键发送扫描；②登录目标账号后全站点走代理，批量自动化检测全站接口未授权

2.4 替换请求头｜水平/垂直越权自动化测试

原理：替换原有登录凭证为其他账号Cookie等请求体，批量检测越权读取数据漏洞。

1. 请求配置→【请求头】，填入测试账号的Cookie、Authorization字段内容
   

2. 看板默认开启【替换请求头】开关；
   

3. A账号登录浏览全站，插件自动替换鉴权信息为B账号凭证，批量探测越权接口

三、SpringBoot专项漏洞探测

SpringBoot重点探测：Swagger接口、Actuator监控端点、Druid监控、Nacos后台、env配置泄漏、heapdump内存泄漏，扩展版可导入专属字典+无头渲染一键批量扫描JS渲染的SpringBoot项目。

3.1 导入SpringBoot专属扫描字典

OneScan→【字典配置】→新建字典，粘贴下文SpringBoot路径字典

3.2 被动代理一键扫站

开启被动监听+目录扫描+无头渲染，浏览器访问目标站点，插件自动遍历字典路径，结果在数据看板汇总；命中env、heapdump、v2/api-docs等敏感地址后，env可直接下载配置、heapdump用JDumpSpider解析账号密码。

四、OneScan常备扫描字典合集

4.1 Swagger/API接口文档字典

/swagger.json
/swagger.yaml
/swagger-resources
/swagger-ui.html
/swagger-ui/index.html
/api/swagger
/api/swagger.json
/api/swagger.yaml
/v1/api-docs
/v2/api-docs
/v3/api-docs
/api/v1/api-docs
/api/v2/api-docs
/api/v3/api-docs
/doc.html

4.2 SpringBoot Actuator/Druid/Nacos专用字典

/actuator
/api/actuator
/env
/env/java.home
/heapdump
/logfile
/jolokia/list
/druid/index.html
/druid/login.html
/nacos/index.html
/jeecg-boot/
/ueditor/ueditor.config.js

4.3 源码&备份文件泄漏字典

/.git/config
/.svn/entries
/{{domain}}.zip
/config.json
/web.config
/settings.json

4.4 通用业务接口字典

/list
/users
/user/1
/save
/update
/upload
/file/upload
/add
/create
/ping

五、总结

1. 选型建议：日常渗透测试优先Zmz-c/OneScan_Expand扩展版（需提前配Python+浏览器环境）；原版vaycore/OneScan仅用于源码学习、极简静态站点临时扫描（无环境成本、无法扫JS页面）；
2. 扩展版核心亮点：依靠Python+无头浏览器解决原版无法扫描JS渲染站点的痛点，自带防重放绕过，内置指纹库。