SuperherRo的博客

`CaA`是一个基于`BurpSuite Java`插件API开发的流量收集和分析插件。它的主要作用就是收集`HTTP`协议报文中的参数、路径、文件、参数值等信息，并统计出现的频次，为使用者积累真正具有实战意义的`Fuzzing`字典。除此之外，`CaA`还提供了独立的`Fuzzing`功能，可以根据用户输入的字典，以不同的请求方式交叉遍历请求，从而帮助用户发现隐藏的参数、路径、文件，以便于进一步发现安全漏洞。

攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，该插件能让我们发现未授权/敏感信息/越权/登陆接口等。

BurpSuite插件集成Ehole指纹库并进行常见OA弱口令爆破插件

该工具为被动扫描Log4j2漏洞`CVE-2021-44228`的BurpSuite插件，具有多DNSLog（后端）平台支持，支持异步并发检测、内网检测、延迟检测等功能。

并发不是重放,在渗透测试或SRC挖掘中你是否通过burpsuite的intruer模块来进行测试并发漏洞呢?首先要理解一下并发的概念,同一个资源,被多个人想要使用的问题,然而burpsuite的intruder模块无论你将线程数调到多高都不是并发,他是一个一个相同的数据包访问同一个资源,并发是10个相同的数据包同时访问一个资源.举例:余额只有500,结果提现到账3000,使用了并发漏洞同时发送了多个提现请求,总结一句话:万物皆可并发.

该插件主要用于测试垂直越权、未授权访问

burp 插件 xia_Yue（瞎越） 主要用于测试垂直越权、未授权访问

用于web渗透注册时，快速生成需要的资料用来填写，资料包含：姓名、手机号、身份证、统一社会信用代码、组织机构代码、银行卡，以及各类web语言的hello world输出与对应的一句话木马。根据各类公开算法以及校验码生成对应的数据。支持弱口令密码字典生成。

一款快速修改HTTP数据包头的Burp Suite插件参考来自[https://github.com/c0ny1/HTTPHeadModifer](https://github.com/c0ny1/HTTPHeadModifer) 非常感谢作者在这个基础上加了Content-Type，Referer等选项；

Struts2漏洞扫描 Burp插件

一个简单的Fastjson反序列化检测burp插件

burpPJ教程(支持新老版本)

一款好用的SSRF被动检测插件。

一款基于BurpSuite的被动式FastJson检测插件

CVE-2021-44228 Log4j2 BurpSuite 扫描器

一款检测Struts2 RCE漏洞的burp被动扫描插件，仅检测url后缀为.do以及.action的数据包

一款基于BurpSuite的被动式shiro检测插件

RouteVulScan是使用java语言基于burpsuite api开发的可以递归检测脆弱路径的burp插件。插件可以通过被动扫描的方式，递归对每一层路径进行路径探测，并通过设定好的正则表达式匹配响应包的关键字，展示在VulDisplay界面。可以自定义相关路径、匹配信息、与漏洞名称等。插件重点是那些简单而有害的漏洞。这些漏洞通常不是固定路径，但可能位于路径的任何层。在这种情况下，非常容易忽视这些漏洞，而如果使用路径爆破，则非常耗时和麻烦。所以插件主打是发送数量小、准确的payload，尽可

一个集成的BurpSuite漏洞探测插件本着市面上各大漏洞探测插件的功能比较单一，因此与TsojanSecTeam成员决定在已有框架的基础上修改并增加常用的漏洞探测POC，它会以最少的数据包请求来准确检测各漏洞存在与否，你只需要这一个足矣。

sqlmap4burp++是一款兼容Windows，mac，linux多个系统平台的Burp与sqlmap联动插件

xia SQL (瞎注) burp 插件 ，在每个参数后面填加一个单引号，两个单引号，一个简单的判断注入小插件。

Unexpected information 是用于标记请求包中的一些敏感信息、JS接口和一些特殊字段的BurpSuite 插件。

HaE - Highlighter and Extractor, 赋能白帽 高效作战

对权限绕过自动化bypass的burpsuite插件

一个burpsuite扩展绕过403限制目录。通过使用PassiveScan(默认启用)，每个403请求将被这个扩展自动扫描，所以只需添加到burpsuite并享受。

Burp被动扫描流量转发插件

本插件主要用于分块传输绕WAF

一个扫描Spring的常见敏感目录的burp suite插件

SpringScan 漏洞检测 Burp插件