RSC_Detector — React Server Components検出およびCVE-2025-55182検証ツール

Security
RSC_Detector — React Server Components検出およびCVE-2025-55182検証ツール

RSC_Detector — React Server Components検出およびCVE-2025-55182検証ツール

React Server Components(RSC)やNext.jsのApp Routerのフットプリントをウェブページ上で検出し、既知の脆弱性(CVE-2025-55182)に対する簡易検証(エクスプロイト)機能を備えたChrome拡張です。教育・セキュリティ調査用途に限定して利用する旨が明記されており、検出は受動的なスキャンから能動的な試験までサポートしています。(約300字)

https://github.com/mrknow001/RSC_Detector

概要

RSC_Detectorは、React Server Components(RSC)やNext.js App Routerの「フットプリント」をブラウザ上で検出するChrome拡張です。受動的な検出(ページのレスポンスやスクリプトの調査)に加え、研究目的で限定的に脆弱性検証(CVE-2025-55182への簡易的なエクスプロイト試行)を行う機能を備えています。インストールして有効化するとcontent scriptがページを検査し、背景処理(background.js)が検出結果の表示や操作を管理します。教育・研究用途に限定する注意書きが強調されています。

GitHub

リポジトリの統計情報

  • スター数: 51
  • フォーク数: 4
  • ウォッチャー数: 51
  • コミット数: 5
  • ファイル数: 9
  • メインの言語: JavaScript

主な特徴

  • React Server Components(RSC)とNext.js App Routerのフットプリントをブラウザレベルで検出
  • 受動的検出(レスポンス/DOMの解析)と限定的な能動検証(脆弱性テスト)をサポート
  • Chrome拡張として手軽に導入・実行可能、検出結果を拡張UIで通知
  • セキュリティ調査・教育目的に特化し、許可のある環境でのみ利用する旨を明示

技術的なポイント

この拡張は典型的なChrome拡張の構成で、content script(content.js)がブラウザ上のページコンテンツを解析し、background script(background.js)が結果の集約やUI連携を担当します。検出ロジックは主に受動的な観測に依存しており、HTTPレスポンスのヘッダやボディ内のRSC特有のマーカー(ストリーミング区切り、RSC用のpayload構造、Next.jsが付加するメタ情報など)を探索してフットプリントを見つけ出します。受動検出により、ターゲットに直接的な負荷や変更を与えずに存在を確認できるため、安全性が高い一方で、確実性は環境や実装差に依存します。

加えて、教育的な目的で限定的な能動検証機能を備えており、これを使うと既知の脆弱性(リポジトリ説明にあるCVE-2025-55182)に対する挙動確認のトリガーを試すことができます。この部分は強く利用制限がかけられており、許可のない環境での実行は違法または倫理的に問題があると明記されています。実装面では、DOM注入やFetch APIのフック、レスポンスパース処理、メッセージング(chrome.runtime.sendMessage / onMessage)を通じてcontent/background間の連携を行っています。画像やアイコンはimages配下に置かれ、拡張のUIや通知に利用されます。全体はJavaScriptでまとめられており、軽量な設計で迅速に検出フローを回せる点が特徴です。

プロジェクトの構成

主要なファイルとディレクトリ:

  • README.md: file
  • README_cn.md: file
  • background.js: file
  • content.js: file
  • images: dir

…他 4 ファイル

まとめ

RSCの検出と脆弱性確認を手軽に行える研究向けChrome拡張。許可ある環境で慎重に利用を。

リポジトリ情報:

READMEの抜粋:

RSC Fingerprint Detector

A Chrome extension for detecting React Server Components (RSC) and Next.js App Router fingerprints on web pages.

⚠️ Important Notice

This extension is designed for educational and security research purposes only. It includes functionality that could be used to test for security vulnerabilities. Only use this extension on systems you own or have explicit permission to test. Unauthorized use may be illegal and unethical.

Features

🔍 Passive Detecti…