BurpSuite插件 -- FastjsonScan(反序列化检测)转载

最新推荐文章于 2024-09-13 21:37:59 发布
最新推荐文章于 2024-09-13 21:37:59 发布
阅读量1.1k 收藏
点赞数
分类专栏: 渗透测试
原文链接:https://blog.csdn.net/weixin_41489908/article/details/111624368
版权

一、插件介绍:

一个简单的Fastjson反序列化检测burp插件,我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件

 

二、下载地址:https://github.com/Maskhe/FastjsonScan

 

三、安装方法:

1、下载项目中的FastjsonScan.jar文件,在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java)

2、将拦截的包发送到 FastjsonScan

3、 如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏洞,则会展示原始的请求与响应

 

 
————————————————
版权声明:本文为CSDN博主「web安全工具库」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_41489908/article/details/111624368

gaomei2009
关注
专栏目录
BurpSuite插件(BP插件、武装BP)
墨痕诉清风的博客
03-07 2358
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
【神兵利器】——206、BurpsuiteFastjsonScan
最新发布
Fly_鹏程万里
10-25 67
FastjsonScan是一个简单的Fastjson反序列化检测burp插件,项目地址:​​​​​​https://github.com/Maskhe/FastjsonScan使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan】将这个请求发送到Fastjson Scan,然后就只需要等待扫描结束FastjsonScan扫描结果界面:如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
BurpSuite插件 -- FastjsonScan(反序列化检测
weixin_41489908的博客
12-24 7226
你可以因为现任不好二分手,但千万不要认为别人更好,永远有人更好,眼下便是更好。。。 ---- 网易云热评 一、插件介绍: 一个简单的Fastjson反序列化检测burp插件,我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 二、...
FastjsonScan 安装和配置指南
gitblog_07600的博客
09-13 408
FastjsonScan 安装和配置指南 FastjsonScan 一个简单的Fastjson反序列化检测burp插件 项目地址: https://gitcode.com/gh_mirrors/fas/FastjsonScan ...
BurpFastJsonScan:一款基于BurpSuite的被动式FastJson检测插件
03-19
BurpFastJsonScan 一款基于BurpSuite的被动式FastJson检测插件 自言自语 据听说它的诞生是因为作者在实际项目由于不够细 没有每个json都尝试进行一次fastjson的突破检测 导致差点错过了三个目标预算,好在同事够细!!! :) 作者事后后悔不已 于是乎〜 它就诞生了 简介 BurpFastJsonScan一个希望能节省一些渗透时间好进行划水的扫描插件插件插件BurpSuite传进来的每个不同的域名+端口的json流量进行一次fastjson dnsLog出网检测 目前的功能如下 dnsLog出网检测(由于使用的是恶意payload所以能出来基本上该站就死了) 编译方法 这是一个java maven项目 :: /BurpFastJsonScan/pom.xml 安装完对应的包以后 编译文件地址:BurpFastJsonScan / out / artif
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
漏洞发现-BurpSuite插件-Fiora+Fastjson+Shiro
xiaoheizi的博客
07-29 2382
命令行下通过java启动程序的命令:java -jar Fiora-202100220-jar-with-dependencies.jar。安装:打开Burp——Extender——Extensions——Add——Select file——选择Fiora的jar包——打开。如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏洞,则会展示原始的请求与响应。所以直接搜索关键字:【log4j】。配置插件Proxy,如果不配置,默认端口是为空的,运行就会报错。
burp插件fastjsonscan
07-26
fastjsonscan的工作原理是检测JSON字符串中是否存在可以被利用的fastjson漏洞的特征,例如类路径、攻击者控制的属性或不安全的反序列化调用。如果发现这些特征,插件将标记相关的请求和响应,并提供了详细的漏洞报告...
2023最全黑客工具合集(附github地址)
weixin_70257503的博客
03-06 6509
首先,恭喜你发现了宝藏。本文章集成了2023全网优秀的开源攻防武器项目
Fastjson-Scanner:burp扩展以查找在哪里使用fastjson
03-20
Fastjson-扫描仪 闲来无事,在家写了个fastjson初始组件检测,用于探测定位是否使用fastjson。 使用的poc如下: fastjson_poc = '{{"@type":"java.net.URL","val":"http://%s"}:"x"}' % val 优点 不仅能够探测POST中的json数据,还能够判断GET中的json数据,支持urlencode,urldecode等。 两种数据对应格式如下: 得到: GET /?json={"fastjson":"example"} 邮政: POST / ... {"fastjson":"example"} 使用方法 导入插件即可重新开始使用,对数据包进行被动扫描,由于使用的是burp自带的dnslog,所以稍微有些电脑延迟,代码里写了sleep 10来获取结果。 当导入数据包后,在burp内可以看到Fastjson
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan
gitblog_00045的博客
05-16 1006
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan 项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan 在今天这个高度数字化的时代,数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱。然而,随之而来的是频繁出现的安全隐患。为此,我们向您推荐一款强大且持续更新的漏洞探测工...
探索FastjsonScan:一款高效且安全的JSON解析工具
gitblog_00012的博客
04-20 491
探索FastjsonScan:一款高效且安全的JSON解析工具 去发现同类优质开源项目:https://gitcode.com/ 是一个针对Java平台的开源项目,旨在提供一种快速、稳定且安全的方式来扫描和解析JSON数据。该项目源自阿里巴巴的Fastjson库,并对其进行扩展,增加了对潜在安全问题的检测功能。 技术背景与分析 Fastjson是Java领域广泛使用的JSON库,因其性能出色而备受...
探索FastjsonScan:智能安全扫描工具,为你的JSON数据保驾护航
gitblog_00082的博客
04-12 467
探索FastjsonScan:智能安全扫描工具,为你的JSON数据保驾护航 FastjsonScan一个简单的Fastjson反序列化检测burp插件项目地址:https://gitcode.com/gh_mirrors/fas/FastjsonScan 是一个开源项目,旨在帮助开发者检测并预防使用Fastjson处理JSON时可能遭遇的安全问题。该项目基于Java语言编写,利用静态代码分析技术...
FastjsonScan 使用教程
gitblog_01131的博客
08-10 294
FastjsonScan 使用教程 FastjsonScanFastjson扫描器,可识别版本、依赖库、autoType状态等。A tool to distinguish fastjson ,version and dependency项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan 1. 项目目录结构及介绍 FastjsonScan 是一个...
一个简单的Fastjson反序列化检测burp插件-FastjsonScan
siu~
10-16 1053
一个简单的Fastjson反序列化检测burp插件
推荐项目:BurpFastJsonScan - 一款高效的JSON安全扫描插件
gitblog_00097的博客
04-09 597
推荐项目:BurpFastJsonScan - 一款高效的JSON安全扫描插件 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个专为网络安全研究人员和渗透测试人员设计的开源工具,它是一个Burp Suite扩展,用于检测JSON响应中的潜在安全漏洞。通过集成在Burp Suite中,此插件能够帮助用户快速有效地识别并利用可能存在的Fastjson反序列化漏洞。 技...
burpsuite安装java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_jar_not_found.jar
10-16
当你看到这样的命令行`java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_jar_not_found.jar`,这是试图通过自定义Bootstrap Classpath(即-Xbootclasspath/p选项)来加载额外的库文件`burp-loader-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值