burp
文章平均质量分 56
burp
zxl2605
这个作者很懒,什么都没留下…
展开
-
Burp的JS API接口过滤插件
Burp的JS API接口过滤插件原创 2023-07-11 12:00:26 · 358 阅读 · 0 评论 -
Burpsuite代理池插件IPRotate
Burpsuite代理池插件IPRotate原创 2023-07-11 11:22:48 · 543 阅读 · 0 评论 -
burpsuite插件xssValidator的安装及使用(XSS自动扫描工具)
在burpsuit的Extender模板下,找到BApp Store,搜索XSS Validator,进行安装即可。xss.js是phantomJS检测xss漏洞的具体实现。下载完成后,将xss.js放在phantomjs同一个文件夹下。下载后配置环境变量,把bin目录下的这个exe加入环境变量。利用phantomjs运行xss.js。就可以看到XSS了!转载 2023-06-08 09:24:24 · 2317 阅读 · 0 评论 -
burpsuite导入网站的客户端证书
burpsuite导入网站的客户端证书原创 2023-05-23 09:01:33 · 801 阅读 · 0 评论 -
burp小程序抓包
burp小程序抓包原创 2023-02-21 09:43:35 · 5556 阅读 · 2 评论 -
BurpSuite调用JavaScript处理Payload,通过JS完全自定义处理逻辑
BurpSuite调用JavaScript处理Payload,通过JS完全自定义处理逻辑转载 2023-02-01 11:48:03 · 1113 阅读 · 0 评论 -
越权检测 burp插件 autorize 使用
越权检测 burp插件 autorize 使用转载 2023-01-17 09:00:34 · 1731 阅读 · 0 评论 -
Burp Collaborator 使用总结
0x00:使用原因 我们在做渗透测试的时候,经常会遇到这种情况,测试跨站可能有些功能插入恶意脚本后无法立即触发,例如提交反馈表单,需要等管理员打开查看提交信息时才会触发,或者是盲注跨站,盲打 XSS 这种。再例如 SSRF,如果程序不进行回显任何信息,而只提示你输入的是否合法,那么也无法直接判断程序存在 SSRF 漏洞,我们可以叫盲 SSRF。再例如 XXE,引入外部文件时,如果程序也不返回任何...转载 2021-12-31 23:19:22 · 2922 阅读 · 0 评论 -
【工具使用】Xray与Burp联动--流量转发插件Passive Scan Client
Burp被动扫描流量转发插件:Passive Scan Client0x01 插件编译 插件地址:https://github.com/c0ny1/passive-scan-client root@kali:~# git clone https://github.com/c0ny1/passive-scan-client.gitroot@kali:~# cd passive-scan-client/root@kali:~/passive-scan-client# mvn package 0x0转载 2021-09-24 21:23:07 · 2079 阅读 · 0 评论 -
BurpSuite v2021.8.2安装使用
文章前言 几个月之前,Burpsuit官方发布了BurpSuite v2021.8.2,但是迟迟没有时间来试试手,正好借着这次调休的时间来写写文章,顺便更新一下Burpsuite 软件下载 天翼云盘 极速安全 家庭云|网盘|文件备份|资源分享 软件安装 Step 1:首先安装软件包中的JDK Step 2:双击运行BurpSuiteLoader.bat启动软件即...转载 2021-10-30 10:04:40 · 261 阅读 · 0 评论 -
Burpsuite爆破含CSRF-Token的程序
转载至https://www.se7ensec.cn/2018/10/21/Burpsuite%E7%88%86%E7%A0%B4%E5%90%ABCSRF-Token%E7%9A%84%E7%A8%8B%E5%BA%8F/ 3 年前发表 8 个月前更新 渗透测试 2 分钟读完 (大约273个字) 358次访问 Burpsuite爆破含CSRF-Token的程序 1. 抓包 0x01 开启burpsuite代理,抓取数据包,将请求包转送到.转载 2021-09-26 20:27:57 · 245 阅读 · 0 评论 -
BurpSuite插件 -- Struts2-RCE
好遗憾,明明不想失去,却又无能为力,说真的,那种想放弃又想爱的滋味,真折磨人。。。。 ---- 网易云热评 一、插件介绍 一个用于检查struts2 RCE漏洞的Burp扩展器 二、下载地址(插件作者:prakharathreya) https://github.com/prakharathreya/Struts2-RCE 三、安装插件 ...转载 2021-09-24 21:36:37 · 474 阅读 · 0 评论 -
验证码识别Burp reCAPTCHA插件使用
介绍 Burp的reCAPTCHA也可用来识别验证码,github地址:https://github.com/bit4woo/reCAPTCHA,下载相应的jar包添加到burp中,位置在extender-extensions-add下,添加成功后burp模块栏会多出reCAPTCHA一栏,如下图。 使用 拦截相应的验证码数据包,这里注意的是,不是登录数据包,二是验证码请...转载 2021-09-24 21:31:20 · 1287 阅读 · 0 评论 -
BurpSuite插件 -- FastjsonScan(反序列化检测)
你可以因为现任不好二分手,但千万不要认为别人更好,永远有人更好,眼下便是更好。。。 ---- 网易云热评 一、插件介绍: 一个简单的Fastjson反序列化检测burp插件,我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于......原创 2021-09-24 20:52:27 · 2838 阅读 · 1 评论 -
domain hunter pro插件的使用方法
安装获取软件的Jar包,由于该软件是基于BurpSuite的插件程序。需要与BurpSuite一起使用。安装后的界面效果项目管理创建一个新的项目,也可以打开已有的项目文件(xxx.db)管理主域名主域名是实现目标管理的核心,所有相关域名、子域名、相似域名、邮箱地址、Java包名称都是以主域名作为依据的。比如我们以baidu.com为例通过代理浏览器访问baidu.com,收集其流量通过search功能,从流量中提取百度相关的所有域名Titles Tab功能介绍目标网站管理原创 2021-09-24 20:47:58 · 3628 阅读 · 2 评论 -
Chunked coding converter插件的使用方法
burp插件----Chunked coding converterurl下载:https://github.com/zxl2605/chunked-coding-converter安装步骤:BurpSuite -> Extender -> Extensions -> Add -> Extension Type: Python -> Select file: chunked-coding-converter.0.2.1.jar -> Next till Finish原创 2021-09-24 20:30:53 · 2052 阅读 · 1 评论 -
一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP
BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现和今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP BurpSuite插件是你的另一个选择。 四个小功能 伪造指定ip伪造本地ip伪造随机ip随机ip爆转载 2021-09-24 19:54:55 · 3234 阅读 · 5 评论 -
Autorize插件的使用方法
在Proxy或者Repeater有Request请求包后,要ctrl+A全选,然后再右键发送到Autorize插件中: 如果只是像这样空白的发送是不会发送过去的:转载 2021-09-24 19:37:55 · 1457 阅读 · 0 评论 -
绕过 WAF:绕过一些 WAF 设备的 Burp 插件
我写了这个插件使用的技术博客文章在这里一会儿回来。如果存在特定标头,许多 WAF 设备可能会被诱骗相信请求来自自身,因此是可信的。绕过方法的基础知识可以在此处的 HP 博客文章中找到。 一段时间以来,我一直在 Burp 中实施匹配/替换规则,以将这些标头自动添加到发送到受 WAF 保护的站点的请求中,但决定创建一个插件,可用于将标头添加到主动扫描、转发器请求、入侵者请求中等等。我从 Fishnet Security 那里看到这篇文章,这真的让我大开眼界。 首先,我在 Python 中实现了该插件,因为它转载 2021-09-22 23:03:25 · 376 阅读 · 0 评论 -
一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP
BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现和今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP BurpSuite插件是你的另一个选择。 四个小功能 伪造指定ip伪造本地ip伪造随机ip随机ip爆转载 2021-09-19 22:42:36 · 374 阅读 · 0 评论 -
在BurpSuite中安装Jython环境
在BurpSuite中安装Jython环境 下载模块 下载地址 https://www.jython.org/download.html 下载 Jython Standalone版本的 打开burp 第一个框子是刚刚下载jar包 第二个时候python的模块文件地址 要到 lib\site-packages里面 成功 ...转载 2021-09-18 21:36:00 · 1358 阅读 · 0 评论