未授权/敏感信息/越权检测插件-BurpAPIFinder

最新推荐文章于 2025-02-12 21:59:48 发布
最新推荐文章于 2025-02-12 21:59:48 发布
阅读量1.3k 收藏 3
点赞数 13
分类专栏: # burp插件 文章标签: burp 插件 未授权 敏感信息 越权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571842/article/details/138269897
版权
本文介绍了一种Burp插件,它能帮助在攻防演练中检测和防止未授权访问,通过解析URL、JS文件,自定义敏感词和配置场景指纹库,有效识别并捕获账号密码、私钥等敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,通过该Burp插件我们可以:
1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证
2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口
3、发现登陆后台网址
4、发现在html、JS中泄漏账号密码或者云主机的Access Key和SecretKey
...

在这里插入图片描述

功能如下

1、提取网站的URL链接和解析JS文件中的URL链接

2、前段界面可自行定义铭感关键词、敏感url匹配

3、界面可配置的开启主动接口探测、铭感信息获取

4、集成主流攻防场景敏感信息泄漏的指纹库

在这里插入图片描述

5、集成HaE的敏感信息识别指纹

在这里插入图片描述

6、集成APIKit的敏感信息识别指纹

在这里插入图片描述

7、集成sweetPotato的敏感信息识别指纹

在这里插入图片描述

项目地址

https://github.com/shuanx/BurpAPIFinder

BurpSuite插件(BP插件、武装BP)
墨痕诉清风的博客
03-07 3230
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
burp字典_Burp插件 | 未授权检测/敏感参数/信息提取
weixin_39836803的博客
11-28 3022
分享3个burpsuite插件,希望对大家有所帮助!//使用方法很简单,瞄一眼readme就行啦未授权检测:https://github.com/theLSA/burp-unauth-checker 敏感参数提取:https://github.com/theLSA/burp-sensitive-param-extractor 信息提取:...
BurpSuite插件自动化发现:未授权/敏感信息/越权隐匿漏洞 | BurpAPIFinder安装+使用
最新发布
2202_75361164的博客
02-12 1086
攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,通过该BurpAPIFinder插件我们可以:1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口3、发现登陆后台网址4、发现在html、JS中泄漏账号密码或者云主机的Access Key和SecretKey5、自动提取js、html中路径进行访问,也支持自定义父路径访问 …下载地址在文末。
burp-unauth-checker:burpsuite扩展程序,用于检查未经授权的漏洞
04-15
burp-unauth-checker 概述 自动化检测未授权访问漏洞 关于该插件的实现细节,参考 快速开始 使用时需要勾选launchBurpUnauthChecker,建议在测试需要授权访问的功能时才开启(如网站后台) authParams.cfg:存储授权参数,如token,cookie等。 在UI输入框增加授权参数要以英文逗号(,)分隔,并点击save按钮保存,其他操作不需要点击save按钮。 show post body即显示post数据的body内容。 show rspContent即显示响应body内容,建议尽量不开启。 一些授权参数是在get/post参数中的,如user/list?token=xxx,这时可以勾选replace GET/POST Auth Params with替换授权参数值。 默认过滤后缀列表filterSuffixList = "jpg,jpeg,pn
批量越权未授权测试(Burpsuite Autorize插件)_burp越权插件(1)
2401_84301948的博客
04-11 1023
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。(img-qAE7YG1q-1712839579035)]的挖掘重要性与日俱增。在测试越权未授权的时候人工对单一接口测试耗时耗力,批量越权未授权测试(Burpsuite Autorize插件)由于安全设备的发展,常规漏洞难以挖掘,辅导),让我们一起学习成长!
Burpsuite插件 BurpAPIFinder专为未授权/敏感信息/越权而生
Shaun_X
04-19 2245
攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,该插件能让我们发现未授权/敏感信息/越权/登陆接口等。
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用Jaro-Winkler距离算法进行页面相似度判断,提高准确度 加入过滤器功能,用英文分号分隔可输入多个域名(xxx.xxx)作为过滤,大大提高挖洞效率 简易教程 在Release中下载插件,安装后会多出一个页面:UAScan。 进入这个页面勾选开启被动扫描,然后不用做任何操作,正常使用Burpsuite即可。 自动检测所有的流量,然后将可能存在未授权访问漏洞的URL显示到UAScan的页面中。 一般建议在登录某系统后使用,是挖掘未授权访问漏洞的利器。 目前只排除了静态文件,后续可以自定义排除规则 开发者 小迪安全团队(许少,
一款Burpsuite自动化检测越权 未授权漏洞插件(更新至最新版本)|漏洞探测,附下载链接。
分享渗透安全工具
10-04 1270
瞎越 (xia\_Yue) 是一款针对 Burp Suite 的插件,主要用于测试权限越权未授权访问。该插件可以有效比较请求和响应的数据大小,返回状态指示与原始数据一致性。其主要功能包括优化 URL 显示、避免重复发送相同数据包、用户界面友好性提升等。最新版本 v1.4 修复了部分越权未授权的 bug,并提供了更便捷的测试与报告截图功能。适用于 Java 1.8 及以上版本,用户需确保 JDK 兼容性。
批量越权未授权测试(Burpsuite Autorize插件
菜鸟学安全的博客
06-25 4449
由于安全设备的发展,常规漏洞难以挖掘,的挖掘重要性与日俱增。在测试越权未授权的时候人工对单一接口测试耗时耗力,。减少漏测。burp 插件Autoriz插件批量越权未授权测试。
【SRC挖掘】越权漏洞——burp插件被动检测越权漏洞,一个插件让挖洞效率翻倍!Autorize
m0_62783065的博客
09-05 1022
【SRC挖掘】越权漏洞——burp插件被动检测越权漏洞,一个插件让挖洞效率翻倍!Autorize
burp-api-drops:burp插件开发指南
05-30
burp api drops API快速索引 : burp api 相关课程 示例代码 IBurpCollaboratorClientContext IBurpCollaboratorInteraction IBurpExtender 二、开发环境准备和Hello World IBurpExtenderCallbacks 二、开发环境准备和Hello World IContextMenuFactory 六、访问burp中的关键数据 IContextMenuInvocation 六、访问burp中的关键数据 ICookie IExtensionHelpers 五、HTTP数据包的处理 IExtensionStateListener IHttpListener 四、学习思路和核心逻辑五、HTTP数据包的处理 IHttpRequestResponse 五、HTTP数据包的处理 IHttpRequ
Burp Suite插件集合
08-24
包含Sqlmap、POST2JSON、DOMXSSChecks、Burp-SessionAuthTool、WCF-Binary-SOAP-Plug-In等18种插件,非常全的Burp工具集合。
Burp插件 | 敏感信息提取 | Hae插件
weixin_66717977的博客
03-13 1901
burp插件敏感信息提取hae插件
一款用于测试越权未授权burp 插件
Elliot1314的博客
01-27 1033
xia_Yue (瞎越) burp插件 主要用于测试越权未授权 感谢名单:Moonlit 注意 默认使用jdk1.8编译 在最新版的burp2.x中jdk为1x,会导致插件不可用,请下载jdk16版本试试,若还不行,请自行下载源码使用当前电脑的jdk1x进行编译,谢谢。 插件描述 返回 ✔️ 表示大小和原始数据大小一致 返回 ==> 数字 表示和原始数据包相差的大小 插件截图 2023-3-4 瞎越v1.2 优化url显示 优化相同数据包避免二次发送 2023-2-8 瞎
工具分享 | BurpAPIFinder - 一款Burpsuite的API敏感信息查找的burp插件,多个SRC挖掘大佬都在使用。
IT软件汇
09-16 917
工具分享 | BurpAPIFinder - 一款Burpsuite的API敏感信息查找的burp插件,多个SRC挖掘大佬都在使用。
捡洞神器-AI版越权检测burp插件AutorizePro
jennycisp的博客
12-05 1971
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
Burp的JS API接口过滤插件
qq_50854662的博客
07-11 457
Burp的JS API接口过滤插件
使用2023版BurpSuite手工进行水平越权测试【图文教程】
Welcome KrityCat Honey
02-24 1548
本人在使用时BurpSuite v2023.12时,查阅网上资料,发现网上大多是旧版,而旧版跟新版在界面上有些许调整。故记录BurpSuite v2023.12使用教程,用于后续本人回顾。
Serv-U FTP Server 越权遍历漏洞 exploit
3. 使用入侵检测系统来检测Serv-U越权遍历漏洞的攻击活动。 Serv-U越权遍历漏洞的修复方法: 1. 升级到最新版本的Serv-U FTP Server,以修复漏洞。 2. 应用补丁来修复漏洞。 3. 限制FTP服务器的访问权限,仅允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值