插件分享 | ModHeader

    分享一个插件，插件名：ModHeader ，可以在浏览器插件中直接下载，也可进入主页获取插件包。常用浏览器插件商店中均可直接搜索下载，如：Google、火狐、Edge。

主页：https://modheader.com/

    这插件与Cookie编辑插件类似，但不同点在于，Cookie管理插件只可编辑数据包Cookie中内容。而此插件，可以编辑、增加数据包头中任意参数与值：

一般情况下有两种形式：  1、校验UA，需要登录（此时需要在微信打开目标，调用微信验证登录后，抓包获取Cookie或Token进行添加）；  2、校验UA，无需登录。

    下面我使用一个小程序仅作为演示，当我尝试在浏览器直接打开小程序地址时，提示需要在微信中打开链接：

    接下来，我在插件中添加配置：

User-Agent：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 NetType/WIFI MicroMessenger/7.0.20.1781(0x6700143B) WindowsWechat(0x63090a1b) XWEB/11275 Flue

    浏览器再次访问小程序地址，已经没有提示需要在微信打开：

    但重定向至微信地址，且无内容返回：

    因为此公众号打开便要求先调用微信登录，那么我们需要在微信打开小程序登录后，抓取数据包，测试其小程序通过哪些内容来校验登录状态，然后获取这些参数与值：

    此小程序仅通过Cookie校验登录状态，所以只需要增加Cookie内容即可。如所测试目标是通过Token或其他参数来校验登录状态，我们根据实际情况获取添加即可。

场景二：锁定登录状态

    当通过未授权访问，或者某些接口获取到token等内容，但无法得到账号密码时。可以通过此插件添加参数值，锁定登录状态：

    此时，直接访问获取到的后台地址，由于需要校验登录状态，会重定向至登录页：

    接下来，使用插件添加Token与值：

    重新访问后台地址，水灵灵的进来了：

    我这里只是简单介绍两种常见的利用场景，这个插件的使用场景还有很多，大家可以根据实际情况举一反三，深度利用。

原文始发于微信公众号（犀利猪安全）：插件分享 | 这是一个有一点强的浏览器插件，和你一样强