探索API漏洞的利器:Logger++过滤器

于 2024-06-23 09:31:29 发布
阅读量337 收藏 4
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00026/article/details/139893460
版权

探索API漏洞的利器:Logger++过滤器

在网络安全测试和渗透测试中,精准地捕捉并分析API请求是至关重要的。今天,我们向你推荐一款名为Logger++的强大Burp Suite扩展,它特别适用于识别和检测API相关漏洞。这个项目提供了一系列精心设计的过滤器,帮助你在海量日志中快速锁定目标信息。

项目介绍

Logger++是一款多线程的日志记录增强工具,允许定义复杂的过滤规则以高亮显示或筛选出匹配条件的条目。特别是对于API漏洞狩猎,这些预设的过滤器能极大提升你的工作效率。无论是RESTful API、GraphQL接口还是RPC服务,都能应对自如。

项目技术分析

Logger++的核心在于其强大的过滤逻辑。通过对比请求方法(如GET、POST、PUT、DELETE)、URL路径、Body内容以及HTTP头等信息,你可以轻松地:

  • 识别API端点:如包含apiv1的关键字。
  • 区分API操作:GET用于读取,POST用于创建或更新,DELETE用于删除,以及更综合的操作。
  • 定位API漏洞:比如过度数据暴露、大规模赋值、注入、对象级别的安全漏洞,以及配置错误、认证问题、SSRF(服务器端请求伪造)和开放重定向等。

应用场景

在实际应用中,Logger++可以帮助你:

  • 审计API安全:针对每个潜在的安全风险点设置过滤规则,以便快速定位可能的问题。
  • 自动化测试流程:结合AutoRepeater或其他工具,自动化执行API漏洞扫描。
  • 优化性能:通过资源和速率限制过滤,预防DoS攻击,并确保API的性能稳定。

项目特点

  • 高度自定义:你可根据实际情况调整或扩展现有的过滤规则,满足个性化的测试需求。
  • 覆盖广泛:全面支持REST、GraphQL和RPC等多种API类型,以及多种常见的API漏洞。
  • 直观高效:实时高亮显示匹配的请求,使得在大量数据中查找关键信息变得简单。
  • 兼容性好:无缝集成Burp Suite,无需额外设置即可开始使用。

总而言之,Logger++是你进行API安全评估时不可或缺的工具,其强大的过滤功能将助你更深入地探索潜在的安全隐患。立即下载并尝试,让安全测试变得更智能、更有效率!

明俪钧
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SptingBoot 实战(3):SpringBoot + 过滤器
changhenshui1990的博客
05-28 2130
一:Filter介绍 Filter也称之为过滤器,它是Servlet技术中最激动人心的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。   Servlet API中提供了一个Filter接口...
apilogger:小型laravel软件包,用于查看可用于调试的api日志
01-28
API记录器 这是一个小包,可以帮助调试api日志。 它可以记录请求方法,URL,持续时间,请求有效负载,检索到的模型,控制器和方法。 安装 通过composer安装软件包 composer require awt/apilogger @dev 用法 Laravel 5.5及更高版本使用程序包自动发现,因此不需要您手动添加ServiceProvider。 如果您使用较低版本的Laravel,则必须在app.php文件中注册它: AWT \P roviders \A piLogServiceProvider::class 使用以下命令发布配置文件: php artisan vendor:publish --tag=config --provider= " AWT\Providers\ApiLogServiceProvider " 该配置文件称为apilogs.php 。 当前支持的驱动程序是db和file 默认情况下,记录器将使用文件记录数据。 但是,如果要使用数据库进行日志记录,请使用 您还可以配置不应记录哪些字段,例如密码,机密等。 如果您仅使用文件驱动程序,则无需迁移
logger++简介
shystartree的专栏
12-11 563
JAVA通用API--Logger
QIUJUN_FC的博客
09-13 246
Burpsuite插件logger++使用方法1
08-03
Burpsuite 插件-logger++使用方法By:裁决目录跟 http history 差不过,记录的更加全面了,字段也多了几个正常开代理就行,不用管,跟
burp 日志Logger++插件从原理到实践
weixin_50464560的博客
09-26 3527
burp 日志插件从原理到实践 2019-05-102019-05-10 11:23:21阅读 1.3K0本文作者:鶇(首次投稿)Logger++ 是 nccgroup 开源的一个 burp 扩展,主要功能是记录经过 Burp Suite 的所有 HTTP 请求 和 HTTP 响应。相较于 Burp 自带的 Proxy 组件中的 HTTP History, logger++ 的优势是记录了更完整的流量,并且支持对这些流量进行基于正则表达式的简易分析,对相关流量记录进行着色展示,将流量导入到 elastics
koa-api-logger:Koa的API记录器
02-03
koa-api-logger 用法 安装 yarn add koa-api-logger # or npm i -S koa-api-logger 利用 const Koa = require ( 'koa' ) ; const router = require ( 'koa-router' ) ( ) ; const logger = require ( 'koa-api-...
带Androidlogger插件的notepad++
02-28
【标题】"带Androidlogger插件的notepad++"是一个专为Android开发者设计的文本编辑器增强版本,它集成了Androidlogger插件,使得在使用Notepad++进行Android代码编辑时,可以方便地查看和分析日志信息。Notepad++...
Geo++ RINEX Logger
11-16
Geo++ RINEX Logger使用最新的Android API服务来记录您的设备的原始GNSS测量数据到一个RINEX文件中,包括伪距,载波相位,多普勒频率和噪声值。到目前为止,它支持GPS、GLONASS伽利略,BDS, QZSS和已经成功地测试了...
Logger++和CSRF Token Tracker使用方法
weixin_50464560的博客
09-11 1764
Burp插件的使用使用准备Burpsuite可以使用三种语言编写的扩展插件,Java、Python和Ruby。除Java外,其它两种需要的扩展插件需要配置运行环境。Python下载Standalone Jar版本,下载后将Jar文件放置在Burpsuite文件夹。Ruby下载地址:http://jruby.org/download下载Complete Jar 版本,下载后将Jar文件放置在Burpsuite文件夹。配置运行环境Extender —— Options中配置Python和Ruby的jar文件路径
LoggerPlusPlus:先进的Burp Suite日志记录扩展
05-02
记录器++ Burp Suite的高级日志记录 由Corey Arthur开发 Soroush Dalili原创 由NCC Group Plc作为开源发布-https: 在AGPL-3.0下发布,请参阅许可以获取更多信息 描述 Logger ++是Burp Suite的多线程日志记录扩展。 除了记录来自所有Burp Suite工具的请求和响应之外,该扩展还允许定义高级过滤器,以突出显示有趣的条目或将过滤器日志仅突出显示与过滤器匹配的那些条目。 内置的grep工具允许搜索日志以查找与指定模式匹配的条目,并提取捕获组的值。 为了使日志可以在其他系统中使用,该表也可以上载到elasticsearch或导出到CSV。 屏幕截图 日志过滤器 行亮点 Grep搜索 用法 您可以使用此扩展,而无需使用BApp商店。 为了从GitHub存储库安装此扩展的最新版本,请执行以下步骤: 步骤1.
burp 日志插件「burplogger++.jar」从原理到实践-信安之路1
08-03
切换到 src/main/java/loggerplusplus/LoggerPlusPlus.javasrc/main/java/loggerplusplus
BurpSutie拓展插件推荐-原始模块增强插件
Boom!脑洞大爆炸的博客
07-04 989
BurpSutie拓展插件推荐-原始模块增强插件
Burp插件整理
wanan的博客
01-26 1394
Burp插件整理
Burp Suite拓展插件
最新发布
Kali与编程
02-26 1403
Burp Suite拓展插件是一种可定制化的工具,可以帮助用户扩展Burp Suite的功能并自定义工具的行为。这些插件可以通过Burp Suite的插件中心进行下载和安装,也可以手动安装。Burp Suite的拓展插件可以帮助用户实现一些特定的功能,比如自动化扫描、字典生成、自定义漏洞检测等。Burp Suite拓展插件是一种可定制化的工具,可以帮助用户扩展Burp Suite的功能并自定义工具的行为。
Logger的使用
热门推荐
xiaocxks的博客
09-26 3万+
引入包import org.apache.log4j.Logger; protected static Logger LOG=Logger.getLogger(myclass.class); 若是去掉static,那每个类对象就返回一个Logger类,增加了开销 getLogger("  ")中的字符串写什么都行,只是打印日志的时候会显示出来 protected stati
Logger详解(四)
Robin Hu的专栏
12-15 4613
本文编辑整理自:http://www.linuxidc.com/Linux/2011-07/38987.htm 五、日志记录写入过程分析 继续看kernel/drivers/staging/Android/logger.c的文件 注册的写入日志设备文件的方法为logger_aio_write:  /*   * logger_aio_write - our write method,
android日志框架Logger的详细使用(目前最新版2.1.1)
code_dream_wq的博客
09-29 4457
https://blog.csdn.net/pzm1993/article/details/78264994 前言 在开发过程中,log日志是每个人多会用上的。平时在开发大项目的时候,几乎每个类多需要加log,然而在发布之前,要求全部删除,真是累。因为系统log暂时没有统一管理的方法。还有就是,特别是在调试的时候,对于线程并发或者子线程的调试,还是加log调试比较精确,用debug工具调试经常...
HashMap<String, Object> paramMap = new HashMap<>(); // status值为1-配药,2-发药,3-退药,4-取消配药 String status = prescInformation.getString("status"); Date datatime = prescInformation.getDate("datetime"); if("1/2/3".contains(status)) { logger.info("1-配药,2-发药,3-退药,4-取消配药---根据状态设置回写内容:status:"+status); paramMap.put("datetime", datatime); paramMap.put("personId", prescInformation.getString("personId")); paramMap.put("dispensaryId", prescInformation.getString("dispensaryId")); }else if ("4".equals(status)){ // 取消配药 logger.info("1-配药,2-发药,3-退药,4-取消配药---根据状态设置回写内容:status:"+status); logger.info("根据状态设置回写内容:status:"+status); paramMap.put("datetime", ""); paramMap.put("personId", ""); paramMap.put("dispensaryId", ""); } logger.info("开始写入数据到emr.patient_presc,prescNumList:"+JSON.toJSONString(prescNumList)+",paramMap:"+JSON.toJSONString(paramMap)+",status:"+status); this.prescriptionMapper.writePrescription(prescNumList, paramMap, status); if ("3".equals(status)){ logger.info("========回写退药数量!--prescNumList:"+JSON.toJSONString(prescNumList)+",paramMap:"+JSON.toJSONString(paramMap)+",status:"+status); this.prescriptionMapper.writePrescDrug(prescNumList, paramMap, status); }
06-09
这段代码可以进行以下优化: 1. 将字符串"1/2/3"提取为一个常量,这样可以提高代码的可读性。 2. 将重复的日志语句提取为一个方法,避免重复的代码。 3. 使用 switch 语句代替 if-else 语句,这可以提高代码的可读性和性能。 4. 对于 "3" 的情况,可以将写入 emr.patient_presc 和 emr.patient_presc_drug 的操作封装到一个方法中,避免重复的代码。 下面是优化后的代码: ```java HashMap<String, Object> paramMap = new HashMap<>(); String status = prescInformation.getString("status"); Date datatime = prescInformation.getDate("datetime"); final String DISPENSED_STATUS = "1/2/3"; if (DISPENSED_STATUS.contains(status)) { logger.info("1-配药,2-发药,3-退药,4-取消配药---根据状态设置回写内容:status:" + status); paramMap.put("datetime", datatime); paramMap.put("personId", prescInformation.getString("personId")); paramMap.put("dispensaryId", prescInformation.getString("dispensaryId")); } else if ("4".equals(status)) { logger.info("1-配药,2-发药,3-退药,4-取消配药---根据状态设置回写内容:status:" + status); logger.info("根据状态设置回写内容:status:" + status); paramMap.put("datetime", ""); paramMap.put("personId", ""); paramMap.put("dispensaryId", ""); } writePrescription(prescNumList, paramMap, status); if ("3".equals(status)) { logger.info("========回写退药数量!--prescNumList:" + JSON.toJSONString(prescNumList) + ",paramMap:" + JSON.toJSONString(paramMap) + ",status:" + status); writePrescDrug(prescNumList, paramMap, status); } private void writePrescription(List<String> prescNumList, Map<String, Object> paramMap, String status) { logger.info("开始写入数据到emr.patient_presc,prescNumList:" + JSON.toJSONString(prescNumList) + ",paramMap:" + JSON.toJSONString(paramMap) + ",status:" + status); prescriptionMapper.writePrescription(prescNumList, paramMap, status); } private void writePrescDrug(List<String> prescNumList, Map<String, Object> paramMap, String status) { logger.info("开始写入数据到emr.patient_presc_drug,prescNumList:" + JSON.toJSONString(prescNumList) + ",paramMap:" + JSON.toJSONString(paramMap) + ",status:" + status); prescriptionMapper.writePrescDrug(prescNumList, paramMap, status); } ``` 这样,代码就更加简洁易读了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明俪钧

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值