一款Burpsuite自动化检测越权 未授权漏洞插件(更新至最新版本)|漏洞探测,附下载链接。

于 2024-10-04 22:34:15 发布
阅读量174 收藏 3
点赞数 6
分类专栏: 网络安全武器库 渗透测试工具库 渗透工具库 文章标签: 自动化 运维 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/billvsjojo/article/details/142708479
版权

0x01 工具介绍

瞎越 (xia_Yue) 是一款针对 Burp Suite 的插件,主要用于测试权限越权和未授权访问。该插件可以有效比较请求和响应的数据大小,返回状态指示与原始数据一致性。其主要功能包括优化 URL 显示、避免重复发送相同数据包、用户界面友好性提升等。最新版本 v1.4 修复了部分越权未授权的 bug,并提供了更便捷的测试与报告截图功能。适用于 Java 1.8 及以上版本,用户需确保 JDK 兼容性。

图片

下载链接

xia_Yue下载:xia_Yue下载
👉地址 >>>点击直接加入星球获取更多网络安全工具

0x02 功能简介

插件优化的地方

  • burp插件

  • 主要用于测试越权、未授权

  • 默认使用jdk1.8编译

  • 在最新版的burp2.x中jdk为1x,会导致插件不可用,请下载jdk16版本试试,若还不行,请自行下载源码使用当前电脑的jdk1x进行编译,谢谢。

  • 返回 ✔️ 表示大小和原始数据大小一致

  • 返回 ==> 数字 表示和原始数据包相差的大小

0x03更新说明

2024-8-27 瞎越v1.4

  • 修复bug,越权未授权部份情况,未删除认证信息

2023-3-4 瞎越v1.2

  • 优化url显示

  • 优化相同数据包避免二次发送

2023-2-8 瞎越v1.1

  • 优化ui,方便测试的时候截图写报告。

  • 优化静态文件后缀

在这里插入图片描述

2022-11-6 瞎越v1.0

  • 瞎越的诞生

在这里插入图片描述

0x04 使用介绍

下载插件,加载到Burpsuite扩展中即可开始享用!

渗透安全HackTwo
关注
专栏目录
BurpSuite插件(BP插件、武装BP)
墨痕诉清风的博客
03-07 2189
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
一款强大的Burpsuite插件支持反序列化 Sql注入 越权 授权漏洞检测|漏洞探测
leah126的博客
08-06 952
一款用于Burp Suite的插件,集成了多种扫描和检测功能,包括Fastjson漏洞扫描、权限绕过检测授权访问检测、SQL注入检测、子域名收集等,以帮助安全研究人员和渗透测试人员提高工作效率。
burpsuite 越权_挖洞经验 | 用BurpSuite实现越权漏洞(IDOR)的自动发现识别
weixin_36307549的博客
01-14 708
这里分享一个自动化发现IDOR(越权)漏洞的方法,那就是在BurpSuite中利用Autozie和Autorepeater插件实现IDOR漏洞探测识别,而无需针对每个请求手动去变化参数或请求。IDOR(越权)漏洞:也称“不安全的直接对象引用”,场景发生于当用户对内部资源的访问请求,或基于用户提供的输入对象进行访问时,服务端进行合理的权限验证,导致当前用户可以授权访问获取到不属于自己账户权限...
逻辑漏洞越权漏洞
无痕的博客
12-06 1725
越权漏洞的介绍、示例、检测
浅析SpringBoot框架常见授权访问漏洞
热门推荐
道阻且长,行则将至。
02-23 1万+
本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的授权访问漏洞基本原理与漏洞探测方法,在介绍了几款自动化扫描工具的同时,也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞
我的BurpSuite漏洞的一些技巧
hackzkaq的博客
08-09 3987
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 关于”从burp的使用到支付和暴破“,也有一期视频教程,可以文末扫码领取 关联阅读: Burpsuite技巧 | 之加密密码爆破、带验证码爆破 渗透测试神器|一文带你精通Burp 一.前言 用了好久低版本的Burp, 最近发现Burp有个全新的改动,所以重新配置一下,然后记录了自己的过程,就打算分享一下自己平时利用Burpsuite进行挖洞的一些技巧。 二.Burp安装与破解 访问官网直接下载Mac OS的安装版:https://ports
认证和授权漏洞挖掘指南
莫慌的博客
07-10 1024
认证和授权机制的安全性对于保护系统至关重要。通过本文的介绍,希望能够提高大家对这些漏洞的认识,并采取相应的措施进行防范和修复。安全是一个持续的过程,需要我们不断地学习、检测更新
WEB攻防-Java安全&JWT攻防&Swagger自动化&算法&签名&密匙&Druid授权
siu~
12-25 1600
1、Java安全-Druid监控-授权访问&信息泄漏 2、Java安全-Swagger接口-文档导入&联动批量测试 2、Java安全-JWT令牌攻防-空算法&签名&密匙提取
渗透测试工具——BurpSuite
weixin_59872639的博客
01-14 9495
BurpSuite主要功能模块 BurpSuite其实是由多个不同的小工具(功能模块)组成的集合,工具与工具之间可以联动 主要功能模块: Target:显示目标目录结构的-个功能 Proxy:拦截HTTP/HTTPS的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许拦截、查看修改在两个方向上的原始数据流 Intruder: -一个定制的高度可配置的工具,对Web应用程序进行自动化攻击,如:枚举标识符、收集有用的数据以及使用fuzzing技术探测常规漏洞 Repeater: -个靠手
web安全渗透漏洞检测
魔都虫师的博客
08-18 444
web漏洞检测表 编号 检查内容描述 1 收集web相关信息,开放端口信息,服务信息等 2 严禁增/删/改防火墙iptables,私自开通高危端口 3 检查Flash跨域策略文件crossdomain.xml是否合法 4 检查是否有CSRF漏洞,根据系统条件进行检测 5 信息泄露漏洞安全性检查(例如test.cgi、phpinfo.php、info.pho、.svn/entries、HTTP认证泄漏漏洞、管理后台泄漏漏洞、内网信息泄漏漏洞、错误详情信
使用Burpsuite快速扫描授权漏洞
2301_79205724的博客
08-31 168
Burpsuite 就不过多介绍了,今天来讲讲如何使用 Burpsuite 来快速扫描越权漏洞,提升工作效率的必备插件
web渗透常见漏洞总结
gugonggugong的博客
01-14 3534
一、SQL注入 1. 原理 SQL:结构化查询语言 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击;如果代码使用存储过程,而这些存储过程作为包含筛选的用户输入的字符串来传递,也会发生sql注入。 2. 不同数据库的注入 MySQL access...
C++发邮件:如何轻松实现邮件自动化发送?
danplus的博客
09-30 494
C++发邮件作为一种高效且灵活的解决方案,正逐渐成为企业邮件自动化的首选工具。AokSend:高效集成API与SMTP接口,C++轻松发邮件,让您的信息秒达,营销沟通无界限!
【30天玩转python】自动化与脚本编写
weixin_39372311的博客
09-30 770
Python 因其简洁的语法和强大的标准库,非常适合用于自动化任务和编写脚本。通过编写 Python 脚本,可以自动执行重复性工作、简化日常任务、批量处理文件和数据,甚至管理服务器等。Python 为自动化任务提供了强大的工具和库,能够处理文件、网络请求、系统命令、邮件发送等各种场景。通过合理利用这些功能,可以大幅提升工作效率,并且通过计划任务工具能够实现任务的定时与自动化执行。Python 可以与操作系统的计划任务工具结合,定时执行自动化脚本。文件操作是自动化任务中的常见需求,Python 的。
自动化办公-Python中的for循环
qq_45993770的博客
09-27 956
print(j) # 变量 j 定义,会引发 NameErrorfor循环是 Python 中非常强大且常用的控制结构,能够高效地遍历各种可迭代对象。通过掌握for循环的基本语法、常见用法以及一些高级技巧,您可以在编写 Python 程序时处理复杂的数据操作任务。基本语法常见可迭代对象:列表、元组、字符串、字典、集合、生成器等。控制语句breakcontinue和else。辅助函数range()和zip()。高级用法:列表推导式、生成器表达式和使用itertools模块。嵌套循环。
Replit Agent:AI驱动的全自动化软件开发革命
进击的码农
09-29 1095
在人工智能快速发展的今天,软件开发领域正经历着前所有的变革。Replit Agent作为AI初创公司Replit推出的革命性编程工具,正在重新定义软件开发的方式。本文将深入探讨Replit Agent的特性、优势以及它在软件开发领域带来的巨大影响。
智能制造--EAP设备自动化程序
最新发布
xichji的专栏
09-30 316
EAP是设备自动化程序(Equipment Automation Program)的缩写,他是一种用于控制制造设备进行自动化生产的系统。EAP系统与MES系统整合,校验产品信息,自动做账,同时收集产品生产过程中的制程数据和设备参数数据,帮助提高工厂的生产效率,避免人工操作失误,提高产品良率的程序。① EAP 向上一般通过MQ与MES通信,向下通过SECS/GEM等协议来与制造设备通信。② 在机台(上位机)有可视化界面,便于用户查看设备运行状态,报警信息,生产信息。③ 可以通过机台向设备下发控制指令。
自动化分配客服售后工单的高效策略
best_project的博客
09-29 707
ZohoDesk通过智能化规则设定、动态负载均衡和工作流自动化,实现工单自动化分配,提高响应速度、分配公正性,优化资源利用,提升客户满意度。Workflow自动化是Zoho Desk中极为强大且灵活的功能,它不仅可以用于工单分配,还可以用于自动发送通知、更新工单状态等一系列操作。管理员应持续监控工单的处理状态和分配效率,收集服务代理和客户的反馈,及时调整自动化规则。通过系统自动根据预设规则分配工单,避免人为分配中的主观因素,确保任务分配的公正性和透明度。以它为例,看看如何实现工单自动化分配?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值