30款burp插件，一键搞定99%的渗透工具！黑客技术零基础入门到精通教程建议收藏！

本篇文章主要分享的是31款比较实用的burp suite插件，告别杂乱的工具，一个burp搞定，31款插件全部都准备好了，看下方扫描即可免费获取

今日阅读福利：《网络安全入门书籍汇总》

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

TsojanScan

https://github.com/Tsojan/TsojanScan

一个集成的BurpSuite漏洞探测插件，它会以最少的数据包请求来准确检测各漏洞存在与否，你只需要这一个足矣。

JsRouteScan

https://github.com/F6JO/JsRouteScan

正则匹配获取响应中的路由进行探测或递归目录探测的burp插件

右键请求可选择将当前请求发送到插件进行主动扫描，插件会将站点地图中，与当前请求使用一样host的历史路径全部进行扫描

BurpAPIFinder

https://github.com/shuanx/BurpAPIFinder/

提取网站的URL链接和解析JS文件中的URL链接(不单单正则、支持多种模式提取)

前段界面可自行定义敏感关键词、敏感url匹配

界面可配置的开启主动接口探测、敏感信息获取

支持用户自定义父路径重新开发扫描任务

集成主流攻防场景敏感信息泄漏的指纹库

集成HaE的敏感信息识别指纹

集成APIKit的敏感信息识别指纹

集成sweetPotato的敏感信息识别指纹

BurpShiroPassiveScan

https://github.com/pmiaowu/BurpShiroPassiveScan

该插件会对BurpSuite传进来的每个不同的域名+端口的流量进行一次shiro检测

目前的功能如下

shiro框架指纹检测

shiro加密key检测,cbc,gcm

turbo-intruder

https://github.com/PortSwigger/turbo-intruder

Turbo Intruder 是一个 Burp Suite 扩展插件， 用于发送大量 HTTP 请求并分析结果，它旨在处理那些需要异常速度、持续时间或复杂性的攻击来补充 Burp Intruder，可以发现条件竞争和短信轰炸等漏洞。

captcha-killer-modified

https://github.com/f0ng/captcha-killer-modified

一款适用于Burp的验证码识别插件。

HackBar

https://github.com/d3vilbug/HackBar

HackBar是burp插件，支持很多便携功能，SQL注入payload、XSS payload、常见LFI漏洞、web shell payload和反弹shell payload。

Autorize

https://github.com/Quitten/Autorize

一款越权插件，越权访问说白了就是你干了不该你干的事，看了不该你看的东西。大的方向上可以分为水平越权和垂直越权。

HaE

https://github.com/gh0stkey/HaE

HaE是一个基于BurpSuite Java插件API开发的辅助型框架式插件，旨在实现对HTTP消息的高亮标记和信息提取。该插件通过自定义正则表达式匹配响应报文或请求报文，并对匹配成功的报文进行标记和提取。

jsEncrypter

https://github.com/c0ny1/jsEncrypter

本插件使用phantomjs启动前端加密函数对数据进行加密，方便对加密数据输入点进行fuzz，比如可以使用于前端加密传输爆破等场景。

Wsdler

https://github.com/NetSPI/Wsdler

Wsdler 可以解析 WSDL 请求，以便使用 repeater 和 scanner 对 WSDL 请求进行测试。

domain_hunter_pro

https://github.com/bit4woo/domain_hunter_pro

这款插件很好的补充了BURP的域名收集问题，让你的BURP更加强大，更加系统的收集项目内的域名和子域名扩大域名资产，增加攻击面。

J2EEScan

https://github.com/ilmila/J2EEScan

J2EEScan 是一个扫描器增强插件，可以通过该插件扫描 J2EE 漏洞，如 weblogic、struts2 、 jboss 等漏洞。

Struts2Burp

https://github.com/x1a0t/Struts2Burp

一款检测Struts2 RCE漏洞的burp被动扫描插件，仅检测url后缀为.do以及.action的数据包。

software-vulnerability-scanner

https://github.com/PortSwigger/software-vulnerability-scanner

Software Vulnerability Scanner 是一个扫描器增强插件，它会检查网站的一些软件版本信息，然后通过 vulners.com 上的漏洞数据库来查询相应的 CVE 编号，找到的结果会显示在漏洞面板上，不用我们自己手动去查找某个版本的 CVE 。

BurpJSLinkFinder

https://github.com/InitRoot/BurpJSLinkFinder

插件很好的兼容进了BURP里面，随着你的点击自动进行收集JS里面的路径。

jython-standalone

https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.3/jython-standalone-2.7.3.jar

Jython是一个将Python语言与Java虚拟机集成的工具，burp中安装python编写插件。

FastjsonScan

https://github.com/Maskhe/FastjsonScan

被动扫描fastjson漏洞。

BurpFastJsonScan

https://github.com/pmiaowu/BurpFastJsonScan

一款基于BurpSuite的被动式FastJson检测插件。

log4j2burpscanner

https://github.com/f0ng/log4j2burpscanner

被动发现log4j2 RCE漏洞。

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

chunked-coding-converter

https://github.com/c0ny1/chunked-coding-converter

分块传输绕WAF插件。

CaA

https://github.com/gh0stkey/CaA

CaA是一个基于BurpSuite Java插件API开发的流量收集和分析插件。它的主要作用就是收集HTTP协议报文中的参数、路径、文件、参数值等信息，并统计出现的频次，为使用者积累真正具有实战意义的Fuzzing字典。除此之外，CaA还提供了独立的Fuzzing功能，可以根据用户输入的字典，以不同的请求方式交叉遍历请求，从而帮助用户发现隐藏的参数、路径、文件，以便于进一步发现安全漏洞。

APIKit

https://github.com/API-Security/APIKit

APIKit可以主动/被动扫描发现应用泄露的API文档，并将API文档解析成BurpSuite中的数据包用于API安全测试。

ssrf-king

https://github.com/ethicalhackingplayground/ssrf-king

burp插件自动化检测ssrf漏洞。

npscrack

https://github.com/weishen250/npscrack

蓝队利器、溯源反制、NPS 漏洞利用、NPS exp、NPS poc、Burp插件、一键利用。

burpFakeIP

https://github.com/TheKingOfDuck/burpFakeIP

伪造请求IP插件。

BurpSuite_403Bypasser

https://github.com/sting8k/BurpSuite_403Bypasser

绕过 403 受限目录的 burpsuite 扩展。

gatherBurp

https://github.com/kN6jq/gatherBurp

一款综合的burp插件。

log4j检测

复杂数据提交

路由扫描

代理池功能，自己爬取免费的代理池,然后保存以及next切换

子域名收集

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

xia_Liao

https://github.com/smxiazi/xia_Liao

xia Liao（瞎料）burp插件 用于Windows在线进程/杀软识别 与 web渗透注册时，快速生成需要的资料用来填写，资料包含：姓名、手机号、身份证、统一社会信用代码、组织机构代码、银行卡，以及各类web语言的hello world输出和生成弱口令字典等。

OneScan

https://github.com/vaycore/OneScan

OneScan是递归目录扫描的BurpSuite插件。

BurpFingerPrint

https://github.com/shuanx/BurpFingerPrint

攻击过程中，我们通常会用浏览器访问一些资产，该BurpSuite插件实现被动指纹识别+网站提取链接+OA爆破，可帮助我们发现更多资产。

reflector

https://github.com/elkokc/reflector

BurpSuite反射XSS插件。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，请看下方扫描即可前往获取

👉1.成长路线图&学习规划👈

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。（全套教程扫描领取哈）

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！ （全套教程扫描领取哈）

👉4.护网行动资料👈

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

👉5.黑客必读书单👈

👉6.网络安全岗面试题合集👈

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~