burp笔记

最新推荐文章于 2024-09-03 09:31:11 发布
最新推荐文章于 2024-09-03 09:31:11 发布
阅读量2.2k 收藏 1
点赞数 2
分类专栏: Web 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/84841162
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

对payload进行处理

在这里插入图片描述
有的密码在前端进行了md5操作,可以在Payload Processing中对payload进行处理。

Burp操作数字型爆破

在postion处加上符号

在payload处进行设置

在这里插入图片描述

对结果过滤

在这里插入图片描述

Burp插件

burp插件目录:
C:\Users\Administrator\AppData\Roaming\BurpSuite\bapps
在这里插入图片描述

常用插件

JSON Beautifier

美化请求/响应的JSON展示

Active Scan ++

增强了默认的scanner功能

Collaborator Everywhere

在各种可能的地方插入Collaborator 的地址,看有没有域名解析,或者HTTP请求。
因为有时候可以插入的Collaborator地址的地方很多,而且到时候即便触发了,也不知道是什么地方触发的,甚至有时候并不会立马触发,而是间隔几分钟、几小时或者24小时,
比如这个:
在这里插入图片描述
Netflix 会每隔4小时访问Referer字段的url,并且设置UA为iPhone。

于是作者写了这个插件,
在这里插入图片描述

参考:https://portswigger.net/research/cracking-the-lens-targeting-https-hidden-attack-surface

BurpJSLinkFinder

参考:
https://github.com/portswigger/js-link-finder
从JS文件中找到隐藏的endpoint。

caiqiiqi
关注
专栏目录
burpsuite安装教程
04-08
burpsuite安装教程 首先,从官网下载您需要的Burp Suite版本。 安装Java Development Kit(JDK)。Burp Suite是用Java编写的,因此需要预先安装Java环境才能运行。如果您已经安装了JDK,则可以跳过此步骤。 解压缩...
Burpsuite搜集js信息(BurpJSLinkFinder
malathonsec
03-23 4718
插件地址: GitHub - InitRoot/BurpJSLinkFinder: Burp Extension for a passive scanning JS files for endpoint links. jython下载地址: Downloads | Jython 我的使用版本: https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/jython-standalone-2.7.2.jar 开始安装
Burpsuite配置BurpJSLinkFinder进行网页JS链接提取
Websec
03-05 1636
下载开源项目,并且将其py文件(FransLinkfinder.py)放到python环境的lib\site-packages目录下。然后配置python环境的文件位置(需要精确到Lib\site-packages)BurpJSLinkFinder用于被动扫描 JS 文件获取js文件当中的链接。首先是配置jython standalone JAR的文件位置。3.2 然后去配置burpsuite的extender。点击add,选择python,将其文件导入进去即可。路径的话禁止中文命名,否则会报错。
BurpJSLinkFinder 使用教程
最新发布
gitblog_01107的博客
09-03 381
BurpJSLinkFinder 使用教程 BurpJSLinkFinderBurp Extension for a passive scanning JS files for endpoint links.项目地址:https://gitcode.com/gh_mirrors/bu/BurpJSLinkFinder 1. 项目的目录结构及介绍 BurpJSLinkFinder 是一个用于 Bu...
JS文件信息收集工具-LinkFinder
qq_50854662的博客
09-23 4586
0x00 前言 我们在渗透测试的之前,信息收集是必要的步骤,而JS文件中往往会暴露出很多的信息,比如一些注释的中铭感信息,内网ip地址泄露等等,还会有一些绝对路径或者相对路径的url,而这些url中很有可能就存在着一些未授权访问或者其他更高级的漏洞,但是手动的......
burpsuite中常用插件
PureDust的博客
10-09 2622
burpsuite中常用插件js Link Finderlogger++BurpShiroPassiveScanFastjsonScan js Link Finder 1.安装的时候记得导入jython独立包: https://www.jython.org/download.html 2.安装扩展 3.使用插件 从js里面提取到了很多URL,都可以尝试访问一下,也许就有未授权访问 logger++ 1.安装扩展 2.使用扩展 这里还可以定义颜色,我设置了post为紫色,过滤规则用的某大佬的: Respo
【网络安全 | 渗透工具】JS文件信息收集工具LinkFinder安装使用教程
等风来
04-17 1283
JavaScript文件可能会泄露敏感信息,如注释中的机密信息、内部IP地址,以及包含未授权访问或其他漏洞的URL。手动检查这些信息效率低下,而该工具——LinkFinder,可用于自动收集JavaScript文件中的信息。
探索隐藏的链接:BurpJSLinkFinder
gitblog_00048的博客
06-08 535
探索隐藏的链接:BurpJSLinkFinder BurpJSLinkFinderBurp Extension for a passive scanning JS files for endpoint links.项目地址:https://gitcode.com/gh_mirrors/bu/BurpJSLinkFinder 在这个数字时代,网络安全变得至关重要,而有效的安全测试工具是确保网站和应...
Webgoat学习笔记.zip
03-12
【WebGoat学习笔记】 WebGoat是一款由OWASP(开放网络应用安全项目)开发的在线教学平台,专门用于教授和实践网络安全中的Web应用程序漏洞。它是一个故意设计有漏洞的Web应用,帮助学习者了解并熟悉各种攻击手段,...
sqlmap最全笔记及实验过程
04-25
1. -l 从Burpsuite proxy或WebScarab proxy中读取Http请求日志文件 2. -x 从sitemap.xml站点地图文件中读取目标探测。 3. -m 从多行文本格式文件读取多个目标,对多个目标进行探测。 4. -r 从文本文件中读取Http请求...
安卓APP测试之使用Burp Suite实现HTTPS抓包方法
09-03
代理设置一般在Burp Suite的Proxy模块中完成,设定监听的IP地址和端口号,以便接收和转发网络流量。 为了能够捕获HTTPS流量,我们需要处理SSL/TLS证书问题。由于Burp Suite的证书不受系统信任,所以需要导出其根...
Python-LinkFinder是一个python脚本用于发现JavaScript文件中的endpoints及其参数
08-10
LinkFinder是一个python脚本,用于发现JavaScript文件中的endpoints及其参数
burpsuite_jsapi:由Python编写的BurpSuite扩展,用于在JS文件中查找API接口
04-15
burpsuite_jsapi Python编写的BurpSuite扩展,用于在JS文件中查找API接口。 0x00前提 JPython环境应安装在BurpSuite中,请咨询 。 0x01步骤 git clone https://github.com/0x-zmz/burpsuite_jsapi 在Extender > Extensions中添加burpsuite_jsapi.py插件。 0x02结果 在渗透测试中,可以直接单击“ JsApi”选项卡以获得结果,如下图所示:
burp-clj:clojure实现burp插件,提供clj脚本加载环境
05-11
burp-clj 为burp提供clojure插件支持,提供加载clojure脚本文件的功能 Usage burp加载插件后,在Clojure Plugin页面下添加Script Source,比如: 然后点Reload Scripts!加载这个目录下的所有clj文件,支持git url和本地文件夹。 License Copyright :copyright: 2020 ntestoc3 This program and the accompanying materials are made available under the terms of the Eclipse Public License 2.0 which is available at . This Source Code may also be made available under the following Secondary Lic
burp抓包上传教程.zip
09-16
burp抓包上传教程.zip
JS文件中的秘密
siu~
05-16 3861
JS文件是JavaScript文件的缩写,是一种用于网页开发的脚本语言文件。JS文件通常包含一些函数和变量,可以通过调用这些函数和变量来实现网页中的动态效果和交互。常见的JS文件包括jQuery、React、Vue等库和框架,它们提供了丰富的功能和组件,可以大大提高网页开发的效率和质量。在Javascript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。
Burp Suite在安全测试中好用的插件
Aevery的博客
02-17 4816
一些好用的插件
网络安全|Burp插件梳理总结 (附工具合集源文档使用
yyyyyybw的博客
09-06 2081
​ 很多师傅在搞渗透测试时,离不开burpsuite,有一些好的插件如虎添翼,我把常用的burp插件整理分享出来,若各位师傅有好用的插件欢迎留言交流!
eclipse 开发burp插件
07-25
在开发Burp插件时,可以选择使用Eclipse作为开发环境。首先,确保你已经安装了JDK环境。然后,按照以下步骤进行设置: 1. 打开Eclipse,创建一个新的Java项目。 2. 在项目中创建一个新的类,作为你的插件的入口点。 3. 导入Burp的jar文件,以便在插件中使用Burp的API。可以将Burp的jar文件添加到项目的构建路径中。 4. 在插件的入口点类中,实现Burp的`IBurpExtender`接口,并重写其中的方法,以实现你的插件逻辑。 5. 在Eclipse中配置插件的调试环境。可以使用之前提到的命令行参数来启动Burp,并将Eclipse连接到Burp的调试端口。 6. 运行你的插件,它将被加载到Burp中。 需要注意的是,使用Eclipse开发Burp插件时,确保你的项目已经正确配置了Burp的API,并且你的插件类实现了`IBurpExtender`接口。此外,还要确保你的插件与Burp的版本兼容。 引用\[1\]中提到了使用Java开发插件的优势,因为Burp本身就是用Java编写的,所以使用Java开发插件的兼容性会更好。而引用\[2\]中提到了使用Python开发插件时可能会遇到的一些问题,例如无法调用C写的模块。因此,使用Java开发插件可以避免这些问题。 希望这些信息对你有帮助! #### 引用[.reference_title] - *1* *3* [Burpsuite插件开发(网络资源学习笔记_burp插件开发)](https://blog.csdn.net/m0_38036918/article/details/122239333)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Burpsuite插件开发](https://blog.csdn.net/weixin_39997829/article/details/125080023)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值