BurpSuite ——AuthMatrix插件安装与使用

最新推荐文章于 2025-03-18 15:57:42 发布
最新推荐文章于 2025-03-18 15:57:42 发布
阅读量2.6k 收藏 5
点赞数 1
分类专栏: 网络安全 文章标签: 安全 网络安全
原文链接:https://blog.csdn.net/edisonjh/article/details/106275819
版权

BurpSuite ——AuthMatrix插件安装与使用

转载自:https://blog.csdn.net/edisonjh/article/details/106275819
在这里插入图片描述

BurpSuite AuthMatrix插件安装

Burp Suite BApp Store安装
AuthMatrix可以通过Burp Suite BApp Store安装。在BurpSuite中,选择Extender选项卡,选择BApp Store,选择AuthMatrix,然后单击install。
使用前准备
burp可以使用三种语言编写的扩展插件,java、python和ruby ,除了java外,其他两种需要的扩展插件需要配置运行环境。

jpython 下载

下载地址:https://www.jython.org/download
在这里插入图片描述

Ruby下载

下载地址:http://jruby.org/download
在这里插入图片描述

配置运行环境

Extender —— Options中配置Python和Ruby的jar文件路径。
在这里插入图片描述

手动安装插件
对于手动安装,请下载github下文件到桌面,然后从Burp Suite中选择Extender选项卡,单击Add按钮,将Extension类型更改为Python,然后选择AuthMatrix python文件。
在这里插入图片描述
在这里插入图片描述
自动安装插件
在Burp Suite BApp Store中查找 Install
在这里插入图片描述
安装好以后 如图所示就是这个样子
在这里插入图片描述

安装完成后会在菜单栏上面显示。
在这里插入图片描述
BurpSuite AuthMatrix插件
AuthMatrix 是一个Burp Suite扩展,用于检测权限授权问题,设置好session就能进行自动化测试。相似功能的插件还有:BurpSuite Authz。Authz会先访问一遍接口抓包,然后“Send request(s) to Authz”,设置低权限的cookie,“Run”就会使用低权限的cookie去请求,结果会匹配给出相似度百分比,可以查看每个请求的详细,半自动测试。
总结:AuthMatrixy插件用于越权漏洞的检测,在插件中配置多个不同用户的Cookies,检测各等级账号对页面的访问权限。
下载连接 手工:Github:https://github.com/SecurityInnovation/AuthMatrix
靶场如下:
在这里插入图片描述
在这里插入图片描述
勾选用户对应的角色
在这里插入图片描述
我们在靶场注册2个账号分别发送到插件
在这里插入图片描述提取用户的唯一标识符填入 Session Token(推荐在登陆处抓包,使用 Repeater 构造不同用户的登陆请求获取各自的 cookie,如有多个 cookie 可用分号分隔
在这里插入图片描述

在注另一个账户和这个一样步骤
在这里插入图片描述

最后如图
在这里插入图片描述
在 Repeater 或 Proxy 的 HTTP History 处选择(按住 Control 键可多选)需要检测的 requests 后右键,选择 Send request to AuthMatrix。

在这里插入图片描述
在这里插入图片描述
如果想检测全部的 requests,直接点最下面的 Run。如果想对单个 request 进行检测,在该 request 上右键选择 Run Request 即可(按 Control 多选同样适用)

在这里插入图片描述
run程序会自动将每个 request 里的 cookie 换成之前设置的同名 cookie,当 response 匹配到正则时,会出现红色,反之是绿色(蓝色是 session 过期)。

转载自https://blog.csdn.net/edisonjh/article/details/106275819

使用Burpsuite快速扫描授权漏洞
2301_79205724的博客
08-31 267
Burpsuite 就不过多介绍了,今天来讲讲如何使用 Burpsuite 来快速扫描越权漏洞,提升工作效率的必备插件
Burp Suite拓展插件
Kali与编程
02-26 1850
Burp Suite拓展插件是一种可定制化的工具,可以帮助用户扩展Burp Suite的功能并自定义工具的行为。这些插件可以通过Burp Suite的插件中心进行下载和安装,也可以手动安装。Burp Suite的拓展插件可以帮助用户实现一些特定的功能,比如自动化扫描、字典生成、自定义漏洞检测等。Burp Suite拓展插件是一种可定制化的工具,可以帮助用户扩展Burp Suite的功能并自定义工具的行为。
AuthMatrix:AuthMatrix是Burp Suite扩展,提供了一种简单的方法来测试Web应用程序和Web服务中的授权
04-13
AuthMatrix v0.8.1 AuthMatrix是Burp Suite的扩展,它提供了一种简单的方法来测试Web应用程序和Web服务中的授权。 借助AuthMatrix,测试人员可以集中精力彻底定义用户,角色和针对其特定目标应用程序的请求的表。 这些表的结构各种威胁建模方法中常见的访问控制矩阵的格式相似。 表格组装完成后,测试人员可以使用简单的即点即用界面启动角色和请求的所有组合。 可以通过易于阅读的彩色编码界面确认结果,该界面指示系统中检测到的任何授权漏洞。 此外,该扩展程序还提供了保存和加载目标配置以进行简单回归测试的功能。 安装 AuthMatrix可以通过Burp Suite BApp Store安装。 在Burp Suite中,选择“扩展器”选项卡,选择“ BApp商店”,选择“ AuthMatrix”,然后单击“安装”。 对于手动安装,请从此存储库下载AuthM
AuthMatrix 使用指南
gitblog_00925的博客
08-15 787
AuthMatrix 使用指南 AuthMatrixAuthMatrix is a Burp Suite extension that provides a simple way to test authorization in web applications and web services.项目地址:https://gitcode.com/gh_mirrors/au/AuthMatrix ...
BurpSuite渗透测试通关手册|从环境配置到报告生成
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-18 1038
在Web应用安全测试中,Burp Suite被誉为“渗透测试的瑞士军刀”,其强大的扫描功能能高效挖掘SQL注入、XSS、信息泄露等漏洞。本文将结合实战步骤,详细解析如何利用Burp Suite进行安全扫描,助你快速掌握核心技巧!
AuthMatrix 使用安装指南
gitblog_00238的博客
08-15 964
AuthMatrix 使用安装指南 AuthMatrixAuthMatrix is a Burp Suite extension that provides a simple way to test authorization in web applications and web services.项目地址:https://gitcode.com/gh_mirrors/au/AuthMatr...
如何安装插件BurpSuite AuthMatrix插件
EdisonJH的博客
05-22 2703
BurpSuite AuthMatrix插件安装 Burp Suite BApp Store安装 AuthMatrix可以通过Burp Suite BApp Store安装。在BurpSuite中,选择Extender选项卡,选择BApp Store,选择AuthMatrix,然后单击install。 使用前准备 burp可以使用三种语言编写的扩展插件,java、python和ruby ,除了java外,其他两种需要的扩展插件需要配置运行环境。 python 下载 下载地址:http://www.jytho
BurpSuite使用插件HaE-2.6.1.jar
05-01
BurpSuite使用插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
phantomjs-burpsuite安装XSS所需插件
03-15
安装XSSValidator插件到Burp Suite的过程大致如下: 1. 首先,确保你已经安装了Burp Suite。你可以从Burp官方网站下载试用版或购买专业版。 2. 下载XSSValidator插件。这个插件可能需要在Burp Suite的扩展库中搜索...
Burpsuite插件之logger++使用方法1
08-03
**Burpsuite插件之logger++使用方法** Logger++是一款为Burpsuite设计的增强型日志记录插件,由裁决目录开发。它Burpsuite内置的HTTP历史记录功能相似,但提供了更全面的记录和分析能力,增加了额外的字段以帮助...
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会...
AuthMatrix.zip
04-21
AuthMatrix是一款针对Burp Suite工具的插件,该工具可以帮助广大研究人员对Web应用程序以及Web服务的认证机制进行安全测试。在AuthMatrix的帮助下,测试人员可以将注意力放在特定应用的用户表、权限、角色和请求上面了,而这些数据库表和网络请求的结构也可以直接映射到各种威胁建模方法中常见的访问控制矩阵 需要安装jython环境
探索Web授权测试新维度:AuthMatrix
gitblog_00066的博客
05-19 345
探索Web授权测试新维度:AuthMatrix AuthMatrixAuthMatrix is a Burp Suite extension that provides a simple way to test authorization in web applications and web services.项目地址:https://gitcode.com/gh_mirrors/au/Aut...
iscsi没有可用于使用快速连接登陆的目标_使用Burpsuite快速扫描授权漏洞
weixin_39852688的博客
11-28 267
Burpsuite 就不过多介绍了,今天来讲讲如何使用 Burpsuite 来快速扫描越权漏洞,提升工作效率的必备插件AuthMatrixAuthMatrix 是 Burp Suite 的一个扩展插件,它提供了一种简单的方法来测试 Web 应用程序和 Web 服务中的授权功能。借助 AuthMatrix,渗透测试人员可以集中精力全面定义用户,角色和针对其特定目标应用程序的请求的表。这些表的结构...
AuthMatrix 项目常见问题解决方案
gitblog_00042的博客
11-15 760
AuthMatrix 项目常见问题解决方案 AuthMatrix AuthMatrix is a Burp Suite extension that provides a simple way to test authorization in web applications and web services. ...
逻辑漏洞之越权漏洞
无痕的博客
12-06 2671
越权漏洞的介绍、示例、检测
解决BurpSuite无法正常安装扩展插件
LainWith的博客
12-02 7513
解决BurpSuite无法正常安装扩展插件
武装你的 Burp Suite - 好用插件分享
Xor0ne
03-06 9497
本文来源于:微信公众号:[小白渗透成长之路][如果你觉得文章对你有帮助,欢迎点赞] 内容目录 BURP 好用插件集合 BURP 好用插件集合 下面分享一些插件,也算是用到的比较多的或者是比较火的一些插件,在这里做个简单集合,供大家选取。(因为比较多,就不一一放链接了,可以 github 直接搜, 都有的,还可以顺便看看官方文档。) burp如何安装插件教程: https://blog.csdn.net/weixin_46329243/article/details/113270792 ...
BurpSuite——HaE插件不生效
02-26
### 关于BurpSuite HaE插件不生效的解决方案 #### 插件配置检查 确保HaE插件正确安装并启用。通常,在BurpSuite中加载外部插件后,需确认插件是否正常工作。如果HaE未显示在扩展列表内,则可能是加载失败或路径设置错误[^1]。 #### 配置环境变量 对于某些依赖特定运行时环境的插件来说,可能需要额外配置JVM参数或其他系统级环境变量来满足其执行需求。例如,如果是Java版本兼容性引起的问题,应调整`JAVA_HOME`指向适当版本的JDK,并重启BurpSuite使更改生效。 #### 日志排查 利用BurpSuite自带的日志记录功能定位具体异常原因。当遇到插件无法启动的情况时,查看控制台输出的信息可以帮助理解问题所在。此外,部分复杂插件还会提供独立的日志文件用于调试目的,这些日志往往包含了更详细的报错提示[^2]。 #### 更新重装尝试 考虑到官方持续更新修复Bug以及优化性能的可能性,建议定期检查是否有新版发布。有时旧版可能存在尚未被解决的小缺陷,升级至最新稳定版本或许就能解决问题。当然,若仍无改善,不妨考虑卸载后再重新安装一次该插件。 #### 测试网络连接状况 由于HaE涉及到了解密HTTPS流量的操作,因此任何影响SSL/TLS握手过程的因素都可能导致其失效。比如防火墙规则阻止了必要的端口通信,或是代理服务器配置不当干扰了正常的会话建立流程等情形都需要逐一排除。 ```python import burpsuite_api as bsapi def check_hae_status(): try: hae_plugin = bsapi.get_extension('HaE') if not hae_plugin.is_active(): print("HaE plugin is inactive.") return False # Additional checks can be added here based on specific requirements. print("HaE plugin appears to be functioning correctly.") return True except Exception as e: print(f"An error occurred while checking the status of HaE: {e}") return None ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值