SpringVulScan--burpsuite插件

最新推荐文章于 2024-04-19 09:51:40 发布
VIP文章 最新推荐文章于 2024-04-19 09:51:40 发布
阅读量3.2k 收藏 1
点赞数 1
分类专栏: 工具开发 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51607644/article/details/125648275
版权

写在前边

项目地址:GitHub - tpt11fb/SpringVulScan: burpsuite 的Spring漏洞扫描插件。SpringVulScan:支持检测:路由泄露|CVE-2022-22965|CVE-2022-22963|CVE-2022-22947|CVE-2016-4977

这是我开发的第一款burpsuite插件,本着的目标是为了更好更方便的去检测一些可能存在Spring漏洞的地方。第一次开发它也是遇到了许许多多的问题和困难,从收集互联网关于burpsuite插件开发资料(API,说明文档),到现在基本功能已经能够实现,前后经历了半个月左右的时间(中间也是掺杂了一些其他的琐事)。不过好在现在已将完成了它!!想着自己有时间搞一个burpsuite插件开发的思路(API的使用),内容文档我也会放到GitHub上,以后有时间继续维护它!!下边对其功能和使用方法进行介绍。

功能介绍

界面

最低0.47元/天 解锁文章
执笔画落梅
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
burp-unauth-checker:burpsuite扩展程序,用于检查未经授权的漏洞
04-15
burp-unauth-checker 概述 自动化检测未授权访问漏洞 关于该插件的实现细节,参考 快速开始 使用时需要勾选launchBurpUnauthChecker,建议在测试需要授权访问的功能时才开启(如网站后台) authParams.cfg:存储授权参数,如token,cookie等。 在UI输入框增加授权参数要以英文逗号(,)分隔,并点击save按钮保存,其他操作不需要点击save按钮。 show post body即显示post数据的body内容。 show rspContent即显示响应body内容,建议尽量不开启。 一些授权参数是在get/post参数中的,如user/list?token=xxx,这时可以勾选replace GET/POST Auth Params with替换授权参数值。 默认过滤后缀列表filterSuffixList = "jpg,jpeg,pn
Spring漏洞综合利用工具
Libra1313的博客
02-11 913
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
spring相关漏洞利用工具-SpringBootExploit(二)
siu~
08-14 1147
项目是根据LandGrey/SpringBootVulExploit清单编写,目的hvv期间快速利用漏洞、降低漏洞利用门槛。
探索SpringExploit:一款强大的Spring安全漏洞检测工具
最新发布
gitblog_00051的博客
04-19 428
探索SpringExploit:一款强大的Spring安全漏洞检测工具 项目地址:https://gitcode.com/SummerSec/SpringExploit 项目简介 SpringExploit 是一个由SummerSec开发的开源项目,专为Java开发者和安全工程师设计,用于检测Spring框架中的潜在安全漏洞。在依赖于Spring进行应用开发的大环境中,这个工具可以帮助开发者提前发...
Struts2漏洞检查工具2017版.zip
07-24
警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! Struts2漏洞检查工具2017版 V2.0 by 安恒信息应急响应中心。支持S2-032,S2-037,S2-016,S2-019,S2-045,S2-046,S2-048漏洞验证。有对漏洞的命令执行功能、文件上传功能。还有批量验证功能。增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过部分WAF防护,存在S2-045就存在S2-046。增加S2-048 Struts 2.3.X,支持检查官方示例struts2-showcase应用的代码执行漏洞。增加安恒信息研究员nike.zheng发现的S2-045。jakatar处理复杂数据类型时,异常处理不当,导致OGNL代码执行,通过在请求的Content-Type头中构造OGNL表达式来执行Java代码。
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用Jaro-Winkler距离算法进行页面相似度判断,提高准确度 加入过滤器功能,用英文分号分隔可输入多个域名(xxx.xxx)作为过滤,大大提高挖洞效率 简易教程 在Release中下载插件,安装后会多出一个页面:UAScan。 进入这个页面勾选开启被动扫描,然后不用做任何操作,正常使用Burpsuite即可。 自动检测所有的流量,然后将可能存在未授权访问漏洞的URL显示到UAScan的页面中。 一般建议在登录某系统后使用,是挖掘未授权访问漏洞的利器。 目前只排除了静态文件,后续可以自定义排除规则 开发者 小迪安全团队(许少,
spring综合性利用工具-SpringBoot-Scan(一)
siu~
08-14 2193
针对SpringBoot的开源渗透框架,以及Spring相关高危漏洞利用工具。
spring综合性利用工具-SBSCAN(三)
siu~
10-09 1082
SBSCAN是一款针对spring框架的渗透测试工具,可以对指定站点进行spring boot敏感信息扫描以及进行spring相关漏洞的扫描与验证。
spring综合性利用工具-SpringBoot-Scan-GUI(二)
siu~
08-14 985
开源工具 SpringBoot-Scan 的GUI图形化版本
spring端点扫描工具-SB-Actuator
siu~
08-14 459
Spring Boot Actuator未授权访问【XXE、RCE】单/多目标检测
用于查找 Spring4Shell 和 Spring Cloud RCE 漏洞的全自动、可靠且准确的扫描程序
qq_53058639的博客
03-04 356
用于查找 Spring4Shell 和 Spring Cloud RCE 漏洞的全自动、可靠且准确的扫描程序。
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
jdk-17 ,BurpSuite 新版本环境及报错
04-25
jdk-17 ,BurpSuite 新版本环境及报错
高危漏洞利用工具|一款专注Spring综合漏洞的利用工具
bobo_patrick的博客
03-12 367
Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式,如果你是一个长期一线攻防选手,那么这款工具对你来说简直不要太棒了,让你在众多目标中快速检测spring相关的CVE漏洞
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
热门推荐
murphysec的博客
03-31 1万+
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
分享一款spring渗透测试工具-支持springboot敏感路径扫描和spring漏洞扫描
printwsl的博客
10-26 658
SBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行spring boot敏感信息扫描以及进行spring相关漏洞的扫描与验证
python-burpsuite
09-27
要使用python-burpsuite插件,您需要按照以下步骤进行操作: 1. 确保您已经安装了Burp Suite,并且已经在您的环境中正确配置了Python解释器。 2. 下载并安装python-burpsuite插件。您可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值