逻辑越权检测插件-xia_Yue

SuperherRo

已于 2024-01-09 22:08:22 修改

阅读量2.7k

点赞数 9

分类专栏： # burp插件文章标签：垂直越权未授权访问 burp插件

于 2024-01-09 22:04:33 首次发布

本文链接：https://blog.csdn.net/m0_60571842/article/details/135490903

版权

burp插件专栏收录该内容

29 篇文章

订阅专栏

本文介绍了burp插件xia_Yue，用于检测垂直越权和未授权访问。该插件支持jdk16，针对burp2.x版本可能存在的兼容性问题提出了解决方案。插件提供数据大小比较功能，并包含了版本更新记录，如v1.2的URL显示优化和v1.1的UI改进。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

burp 插件 xia_Yue（瞎越）主要用于测试垂直越权、未授权访问

项目地址

https://github.com/smxiazi/xia_Yue
在这里插入图片描述

注意

默认使用jdk1.8编译
在最新版的burp2.x中jdk为1x,会导致插件不可用,请下载jdk16版本试试,若还不行，请自行下载源码使用当前电脑的jdk1x进行编译,谢谢。

插件描述

返回 ✔️ 表示大小和原始数据大小一致
返回 ==> 数字 表示和原始数据包相差的大小

插件截图

在这里插入图片描述

更新记录

2023-3-4 瞎越v1.2
优化url显示
优化相同数据包避免二次发送

2023-2-8 瞎越v1.1
优化ui，方便测试的时候截图写报告。
优化静态文件后缀
在这里插入图片描述
2022-11-6 瞎越v1.0
瞎越的诞生

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

SuperherRo

关注关注

9
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

weixin_51725318的博客

11-14

1406

burp插件下载与安装

qq_51743281的博客

05-26

1365

由于自己是第一次从GitHub安装插件，走了弯路，想记录一下，也顺便帮还没安装过burp插件的小白或者萌新避个坑，大佬们可以不用看这篇文了。

参与评论您还未登录，请先登录后发表或查看评论

一款用于测试越权、未授权的burp 插件

Elliot1314的博客

01-27

1046

xia_Yue (瞎越) burp插件主要用于测试越权、未授权 感谢名单：Moonlit 注意默认使用jdk1.8编译在最新版的burp2.x中jdk为1x,会导致插件不可用,请下载jdk16版本试试,若还不行，请自行下载源码使用当前电脑的jdk1x进行编译,谢谢。插件描述返回 ✔️ 表示大小和原始数据大小一致返回 ==> 数字表示和原始数据包相差的大小插件截图 2023-3-4 瞎越v1.2 优化url显示优化相同数据包避免二次发送 2023-2-8 瞎

越权问题（水平越权&&垂直越权）&& 未授权访问 && 检测插件

最新发布

2301_81155391的博客

03-09

956

越权问题属于业务逻辑问题越权和未授权访问是不一样的越权应用于有用户的情况下如果任意用户都可以访问的关键信息这个就是未授权访问什么是水平越权：位于同一水平线的越权比如用户1 可以越权修改用户2的密码和信息用户2也可以修改1 的信息为什么呢因为1 ， 2的权限是相同的都是普通的用户。

探索技术创新：xia_Yue - 一款智能月历应用

gitblog_00076的博客

03-27

387

探索技术创新：xia_Yue - 一款智能月历应用去发现同类优质开源项目:https://gitcode.com/ 项目简介是一个开源的个人日程管理应用，以独特的设计和智能化的功能，为用户提供了一种全新的时间管理和生活规划方式。通过高效的代码结构和强大的功能集成，xia_Yue不仅帮助用户跟踪日常任务，还提供了天气预报、农历转换等实用功能。技术分析前端框架: xia_Yue 使用了现代...

一款Burpsuite自动化检测越权 未授权漏洞插件(更新至最新版本)|漏洞探测，附下载链接。

分享渗透安全工具

10-04

1320

瞎越 (xia\_Yue) 是一款针对 Burp Suite 的插件，主要用于测试权限越权和未授权访问。该插件可以有效比较请求和响应的数据大小，返回状态指示与原始数据一致性。其主要功能包括优化 URL 显示、避免重复发送相同数据包、用户界面友好性提升等。最新版本 v1.4 修复了部分越权未授权的 bug，并提供了更便捷的测试与报告截图功能。适用于 Java 1.8 及以上版本，用户需确保 JDK 兼容性。

Burp自用插件

5L2g556F5ZWl77yf

03-29

7990

文章目录logger++Software Vulnerability ScannerTurbo Intruderreflectorchunked-coding-converterburp-unauth-checkerBurpJSLinkFinderburp-sensitive-param-extractorBurpSuite_403BypasserAutozieHaEBurpFastJsonScanShiro Echo Toolssrf-kingbypasswaf 一些插件，基本上都是在github上搜集来

逻辑漏洞+未授权访问漏洞讲解（教案）

qq_63217130的博客

02-03

1384

目录穿越即上传的文件可以到任意的目录位置包括网站的根目录，这样就可以直接访问得到了。['filePath', []],//生成文件位置可以目录穿越 ../../../ 到达根目录。//获取要写入的内容。通俗来讲就是后端设计的某个功能的代码逻辑有缺陷，攻击者可以利用逻辑的缺陷损害厂商的利益或者他人的利益。修改密码的时候，参数step，表示步骤1，2，3直接将step改为3跳过中间的验证步骤直接修改密码。有的人认为这可能不是漏洞，但是他是，因为发一次短信厂商是会扣钱的，对收到短信的人也是一种骚扰。

GB35114-2017_niyi_35114_gb35114_GB35114-2017_

10-04

4. 访问控制：要求实施细粒度的访问控制策略，根据用户角色和业务需求设定权限，防止越权操作。 5. 日志管理：规定系统应记录所有操作日志，便于审计和问题追踪，同时日志应进行安全存储和定期备份。 6. 安全防护：...

第三届阿里云安全算法挑战赛_tianchi-3rd_security.zip

09-05

云计算安全是挑战赛的一个核心议题，它要求参与者了解云计算环境下数据泄露、服务拒绝攻击、横向越权等多种安全威胁，并设计出有效的安全机制来防御这些威胁。数据安全则关注数据在存储、传输和处理过程中的安全保护...

33 WEB漏洞-逻辑越权之水平垂直越权全解-附件资源

03-02

33 WEB漏洞-逻辑越权之水平垂直越权全解-附件资源

83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1

08-03

【网络安全自学篇】八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结本文主要介绍了网络安全领域中常见的几种攻击手段，包括CSS注入、越权访问、csrf-token窃取以及XSS跨站脚本攻击，并通过WHUCTF比赛中的...

191018 pwn-HITB_dubai polyfill

热门推荐

whklhhhh的博客

10-18

3万+

Polyfill 写作dubai-ctf，然而在阿布扎比举办233 风格迥异，被毛子吊锤一百遍啊一百遍第二天主要在看一个wasm的pwn，发现了UAF的漏洞但是由于对heap没了解所以没写利用。队里的pwn手觉得没法用所以没写，最后偷了流量重发爽了一天。赛中修复了题目，但是并没有起效。事后分析了一下确实是那个UAF的洞。题目文件 http是一个web演示接口，可以通过html+js+engin...

Burpsuite插件 BurpAPIFinder专为未授权/敏感信息/越权而生

Shaun_X

04-19

2275

攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，该插件能让我们发现未授权/敏感信息/越权/登陆接口等。

批量越权未授权测试（Burpsuite Autorize插件）

菜鸟学安全的博客

06-25

4548

由于安全设备的发展，常规漏洞难以挖掘，的挖掘重要性与日俱增。在测试越权和未授权的时候人工对单一接口测试耗时耗力，。减少漏测。burp 插件Autoriz插件批量越权和未授权测试。

逻辑越权检测插件-auth_analyzer

SuperherRo的博客

01-10

917

该插件主要用于测试垂直越权、未授权访问

最新Burp Suite插件详解

此博客内容主要是小可日常工作中的一些问题解决的记录整理而成

08-25

1375

Burp Suite中存在多个插件，通过这些插件可以更方便地进行安全测试。插件可以在“BApp Store”（“Extender”→“BApp Store”）中安装，如图3-46所示。下面列举一些常见的Burp Suite插件。

基于实战的Burp Suite插件使用Tips

网安君的博客

01-17

5354

基于实战的Burp Suite插件使用技巧本篇文章首发于奇安信攻防社区 0×00前言 Burp Suite是一个集成化的渗透测试工具，它集合了多种渗透测试组件，使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中，我们使用Burp Suite将使得测试工作变得更加容易和方便，即使在不需要娴熟的技巧的情况下，只有我们熟悉Burp Suite的使用，也使得渗透测试工作变得轻松和高效。 Burp Suite可执行程序是java文件类型的jar文件，免费版的可以从免费版下载地址

Xilinx pg 239

12-31

### 查找Xilinx官方文档中的特定页面为了定位到Xilinx官方文档的具体页码，例如第239页的内容，建议按照以下方式操作：访问[Xilinx官方网站](https://www.xilinx.com/)后，在首页顶部导航栏找到并点击“Support”，接着选择“Documentation”。这将引导至Xilinx的综合文档库[^1]。对于具体页数的查询，通常需要先确定目标文档名称或编号。如果已知确切的PDF或其他格式文档，则可以在本地下载后的副本中直接翻阅到达指定页数；如果是在线浏览模式，部分大型手册可能不具备逐页跳转功能，此时可以尝试利用浏览器内置的查找命令（Ctrl+F），输入关键词来快速定位相关内容所在位置。当涉及像Zynq系列这样的复杂产品线时，推荐优先查阅《UG585 (v2020.1)》这类权威性的用户指南，因为这些资料不仅覆盖全面而且更新及时。以Zynq为例，可以从上述路径进入后搜索“Zynq-7000 AP SoC Technical Reference Manual”获得最新版本的技术参考手册[^3]。此外，针对某些特殊应用领域如NVMe控制器IP核开发，也可以通过同样的入口检索对应的解决方案白皮书和技术笔记等辅助材料，确保所使用的组件符合预期性能指标[^4]。 ```bash # 使用wget命令从Xilinx官网下载技术手册(假设允许直链下载) $ wget https://www.xilinx.com/support/documentation/...pdf ```