一些相见恨晚的BurpSuite插件推荐

最新推荐文章于 2024-01-03 17:06:23 发布
最新推荐文章于 2024-01-03 17:06:23 发布
阅读量3k 收藏 26
点赞数 2
分类专栏: hack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dome_/article/details/104766466
版权

文章来源:我的安全专家之路

 

BurpSuite 是我心中最强大的Web渗透工具,没有之一!它也是日常中用得最多的工具,它有一些强大的插件可以帮忙我们减少大量的工作量以及更好地挖掘漏洞,今天分享下我常用的一些 burp 插件。

 

Autorize —— 强大的越权自动化测试工具

 

如果你在测试越权的时候,还是手动把URL复制到另一个浏览器的低权限账号中来打开,你就out了!

 

Autorize 是一个测试权限问题的插件,可以在插件中设置一个低权限账号的  cookie ,然后使用高权限的账号去浏览所有功能,Autorize 会自动用低权限账号的 cookie 重放请求,同时也会发一个不带 cookie 的请求来测试是否可以在未登录状态下访问。

 

该插件可以直接在Bapp Store 安装。

 

 

如果结果中的 Authorization Enforce 列是绿色,那么就可以确定该请求两个账号都可以访问了。

 

 

Turbo Intruder —— 短时间发送大量请求

 

如果你还在用 burp 的 intruder 功能来爆破密码,测试并发,爆破目录那你就 out 了!

 

Turbo Intruder 是 Intruder 的增强, 它可以在短时间内发送大量的 http 请求,具体速度取决于你的网速,即使在比较差的公共网络下,它也能每秒发送几百个请求。

 

使用 Turbo Intruder 我们可以在几分钟内爆破完百万级的密码字典和目录字典,也可以在一瞬间发送几十个并发请求来测试并发漏洞。

 

该插件可以直接在Bapp Store 安装。

 

 

在要插入 payload 的地方加个 %s ,然后在下面窗口添加自定义的处理脚本即可开始爆破。

 

最低0.47元/天 解锁文章
K'illCode
关注
  • 2
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Burp入门第三十二篇】Autorize插件安装使用教程+越权实战案例
等风来
04-18 353
Autorize是一个旨在帮助渗透测试人员检测授权漏洞的扩展。将低权限用户的cookie提供给扩展程序并使用高权限用户浏览网站,该扩展会自动重复每一个请求与低权限用户的会话并检测授权漏洞;除了授权漏洞之外,还可以在没有任何cookie的情况下重复每一个请求,以检测身份验证漏洞;报告的执行状态如下:绕过!-红色强制执行!-绿色强制执行???(请配置强制检测器) -黄色。
Python-一个Burpsuite插件用于检测隐藏的XSS
08-10
一个Burpsuite插件,用于检测隐藏的XSS
【工具】分享自用的Burp插件
尚未佩妥剑 转眼便江湖
12-07 6662
Burp Suite常用插件说明 一、sqlmap插件 使用sqlmap.jar可以在测试时通过右键菜单快速把当前测试数据包进行SQLMAP测试 二、hackebar插件 使用HackBar.jar可以在Burp中使用hackebar功能,具体功能如下: 1、SQL注入: 猜字段数:如果字段数过大,手动输很麻烦 order by、group by、 联合查询:如果字段数过大,手动...
子域名拦截工具burpsuite插件
06-27
该工具可以定向拦截burpsuite获取的所有域名,能够帮助安全人员或者子域名、接口等域名信息。
burpsuite插件sqlmap4burp安装包
01-05
已编译,亲测可直接使用,直接用burpsuite抓包,右键选择send to sqlmap4burp ,直接调用sqlmap进行注入点测试
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用Jaro-Winkler距离算法进行页面相似度判断,提高准确度 加入过滤器功能,用英文分号分隔可输入多个域名(xxx.xxx)作为过滤,大大提高挖洞效率 简易教程 在Release中下载插件,安装后会多出一个页面:UAScan。 进入这个页面勾选开启被动扫描,然后不用做任何操作,正常使用Burpsuite即可。 自动检测所有的流量,然后将可能存在未授权访问漏洞的URL显示到UAScan的页面中。 一般建议在登录某系统后使用,是挖掘未授权访问漏洞的利器。 目前只排除了静态文件,后续可以自定义排除规则 开发者 小迪安全团队(许少,
Burp Suite插件集合
08-24
包含Sqlmap、POST2JSON、DOMXSSChecks、Burp-SessionAuthTool、WCF-Binary-SOAP-Plug-In等18种插件,非常全的Burp工具集合。
Burp Suite 实用插件推荐
热门推荐
煜铭2011
04-21 2万+
0x00 前言 使用过burpsuite的同学们都知道,这个burpsuite有社区版(免费版) 和专业版(收费版,349美元一年), 在我们平时渗透测试当中,这个可是一把神器, 它和sqlmap 一样极其厉害,但它的主要作用以拦截和修改流量包和检测常见Web漏洞为主,其中也有常规的加密/解密功能、入侵功能、重放功能等等 我们都知道无论是收费版还是免费版,burpsuite 这个软件还是提供了
BurpSuite插件推荐
技术超强的网络安全平台
11-25 3147
实验2.2 磁盘管理及挂载与卸载 一、实验目的 (1)掌握磁盘的添加、分区和格式化操作; (2)掌握磁盘分区的挂载与卸载; 二、实验需求 (1)在虚拟机处于关机状态下,创建快照,添加1块新磁盘; (2)虚拟机开机,并以root用户访问centos7系统,对磁盘进行分区和格式化操作; (3)在root用户的根目录下创建目录,并实现对磁盘分区的挂载与卸载; 三、实验步骤 1、创建快照,虚拟机关机,添加1块容量为10G的硬盘(SCSI格式)。在添加硬盘后,请给出截图。 2、虚拟机开机,并通过root用户访问系统
Burp Suite插件推荐
weixin_30672019的博客
08-07 322
BurpSuiteHTTPSmuggler 网址 https://github.com/nccgroup/BurpSuiteHTTPSmuggler 作用 利用 中间件对 HTTP 协议的实现的特性 bypass waf . 相关 ppt https://www.slideshare.net/SoroushDalili/waf-bypass-techniques-using-http-standa...
BurpSutie拓展插件推荐-辅助测试插件
Boom!脑洞大爆炸的博客
07-04 1758
BurpSutie拓展插件推荐-辅助测试插件
BurpSuite之HaE插件配置文件
01-30
HaE是BurpSuite敏感信息标记插件,官方下载地址为: https://raw.githubusercontent.com/gh0stkey/HaE/gh-pages/Config.yml
Burp suite主题插件.jar
09-22
每个人都知道黑客只在晚上工作,所以多年来人们要求 PortSwigger 实现一个黑暗主题。当他们这样做时,黑客们到处欢欣鼓舞!但是,有些人仍然想要更多......直到...... Burp Customizer! Burp Suite 2020.12 用 FlatLaf 替换了旧的 Look and Feel 类,这是一个开源 Look and Feel 类,它还支持为 IntelliJ 平台开发的 3rd 方主题。此扩展允许您在 Burp Suite 中使用这些主题,并包含许多捆绑主题供您尝试。
burp插件分享:图形化版的重算sign和参数加解密插件1
08-03
1.可以控制插件生效的组件,包括 proxy、scanner、intruder、repeater 2.可以控制插件生效的域名和参数 3.目前 Resign 支持
Burpsuite插件BurpKit使用方法1
08-04
它还提供了双向JavaScript 桥 API,使用户可以创建快速的一次性 BurpSuite 插件原型,该原型可以直接与 DOM 和 Burp 的扩展程序 A
BitTraversal:Burpsuite 插件检测目录遍历漏洞
05-29
Mutator 将针对从 burpsuite 看到的每个请求运行,例如(代理、转发器、扫描仪)生成许多潜在的 url,每个都附加一个要传递给 Executor 和 Detector 类的有效负载,以检测其中一种检测技术是否成功 该插件使用两种...
BurpSuite使用的插件HaE-2.6.1.jar
最新发布
05-01
BurpSuite上使用的插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
全网最简单的 burp 验证码识别爆破
安于心,修于形
01-03 1110
点击网页当中的验证码-抓包-将包发送给插件captcha-killer-modified。变量2-选择通过扩展生成-扩展选中captcha-killer-modified-OK。添加-文件选择插件captcha-killer-modified-点击下一个。模板库选择ddddocr-修改端口与python当中的保持一致-点击识别。攻击类型选择Pitchfork,将变量1,2分别设置为密码和验证码。选中识别出的验证码,并将其标记为识别结果。返回验证码即证明插件安装成功。点击识别成功匹配出验证码。
burpsuit常用插件汇总
Thunderclap的博客
07-02 8982
burpsuit常用插件
burpsuite插件
07-27
您好!对于Burp Suite,它是一款常用的Web应用程序安全测试工具。它提供了许多功能,其中包括插件系统,可以通过插件来扩展其功能。以下是一些常用的Burp Suite插件: 1. Turbo Intruder:用于自定义和自动化攻击的插件。 2. SQLMap:用于自动化SQL注入检测和利用的插件。 3. Logger++:用于记录和分析HTTP请求和响应的插件。 4. ActiveScan++:增强Burp的主动扫描功能,提供更全面的漏洞检测。 5. CO2:用于发现和验证SSRF漏洞的插件。 6. J2EEScan:用于检测和利用Java EE应用程序中的漏洞的插件。 7. Retire.js:用于检测应用程序中使用的旧版本JavaScript库和框架的插件。 这只是一小部分Burp Suite插件,还有很多其他插件可以根据您的需求进行安装和使用。您可以在Burp Suite的官方网站或第三方开发者社区上找到更多插件资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值