网络安全|Burp插件梳理总结 (附工具合集源文档使用)

最新推荐文章于 2024-05-26 15:36:36 发布
最新推荐文章于 2024-05-26 15:36:36 发布
阅读量1.7k 收藏 19
点赞数 4
文章标签: web安全 网络安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyyyyybw/article/details/132713319
版权

前言

​ 很多师傅在搞渗透测试时,离不开burpsuite,有一些好的插件如虎添翼,我把常用的burp插件整理分享出来,若各位师傅有好用的插件欢迎留言交流!

插件

Log4j2Scan

该工具为被动扫描Log4j2漏洞CVE-2021-44228的BurpSuite插件,具有多DNSLog(后端)平台支持,支持异步并发检测、内网检测、延迟检测等功能。

下载地址:https://github.com/whwlsfb/Log4j2Scan

BurpFastJsonScan

一款基于BurpSuite的被动式FastJson检测插件

下载地址:https://github.com/pmiaowu/BurpFastJsonScan

BurpJSLinkFinder

用于端点链接的被动扫描 JS 文件的 Burp 扩展。

下载地址:https://github.com/InitRoot/BurpJSLinkFinder

BurpShiroPassiveScan

一款基于BurpSuite的被动式shiro检测插件

下载地址:https://github.com/pmiaowu/BurpShiroPassiveScan

BurpSuite_403Bypasser

绕过 403 限制目录的 Burpsuite 扩展

下载地址:https://github.com/sting8k/BurpSuite_403Bypasser

Fiora

漏洞PoC框架Nuclei的图形版。快捷搜索PoC、一键运行Nuclei。即可作为独立程序运行,也可作为burp插件使用

下载地址:Releases · bit4woo/Fiora · GitHub

HackBar

Burpsuite 的 HackBar 插件

下载地址:https://github.com/d3vilbug/HackBar

HaE

HaE是基于 BurpSuite Java插件API 开发的请求高亮标记与信息提取的辅助型框架式插件,该插件可以通过自定义正则的方式匹配响应报文或请求报文,并对满足正则匹配的报文进行信息高亮与提取。

下载地址:https://github.com/gh0stkey/HaE

sqlmap4burp++

sqlmap4burp++是一款兼容Windows,mac,linux多个系统平台的Burp与sqlmap联动插件

下载地址:https://github.com/c0ny1/sqlmap4burp-plus-plus

TsojanScan

一个集成的BurpSuite漏洞探测插件

下载地址:https://github.com/Tsojan/TsojanScan

wooyu 同类漏洞查询

从wooyun中提取的payload,以及burp插件

下载地址:https://github.com/boy-hack/wooyun-payload

分块传输

Burp suite 分块传输辅助插件

下载地址:https://github.com/c0ny1/chunked-coding-converter

伪造IP

服务端配置错误情况下用于伪造ip地址进行测试的Burp Suite插件

下载地址“https://github.com/TheKingOfDuck/burpFakeIP

信息收集管理

domain_hunter的高级版本,SRC挖洞、HW打点之必备!自动化资产收集;快速Title获取;外部工具联动;等等

下载地址:https://github.com/bit4woo/domain_hunter_pro

验证码爆破

captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费ocr库,用于验证码爆破,适配新版Burpsuite

下载地址:https://github.com/f0ng/captcha-killer-modified

越权检测

AuthMatrix 是一个 Burp Suite 扩展,它提供了一种简单的方法来测试 Web 应用程序和 Web 服务中的授权。

下载地址:https://github.com/SecurityInnovation/AuthMatrix

学算法的程霖
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
burp插件分享1
m0_55772907的博客
10-25 4612
burpsuite插件
Burpsuite搜集js信息(BurpJSLinkFinder )
malathonsec
03-23 4510
插件地址: GitHub - InitRoot/BurpJSLinkFinder: Burp Extension for a passive scanning JS files for endpoint links. jython下载地址: Downloads | Jython 我的使用版本: https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/jython-standalone-2.7.2.jar 开始安装
BurpSuite插件分享
混子
08-26 3653
之前总认为挖洞细就中了,但在前段时间人麻了,去测站,把功能点测完以为结束了,因为这几年甲方安全意识强,还有一些安全设备,再加上人家防范的意识也强,就感觉不会出现spring boot未授权、shiro默认密钥等这种比较低级的事情,但事实总是打脸的措不及防,测完发现甲方爸爸找上门了,说人家测拿到权限了,你是不是不行,在这里小弟建议各位哥哥留意一下那些主动检测到插件,说不定弹了你不知道,所以这篇文章主角是插件。......
Burp自用插件
5L2g556F5ZWl77yf
03-29 7812
文章目录logger++Software Vulnerability ScannerTurbo Intruderreflectorchunked-coding-converterburp-unauth-checkerBurpJSLinkFinderburp-sensitive-param-extractorBurpSuite_403BypasserAutozieHaEBurpFastJsonScanShiro Echo Toolssrf-kingbypasswaf 一些插件,基本上都是在github上搜集来
burp插件下载与安装
最新发布
qq_51743281的博客
05-26 364
由于自己是第一次从GitHub安装插件,走了弯路,想记录一下,也顺便帮还没安装过burp插件的小白或者萌新避个坑,大佬们可以不用看这篇文了。
基于实战的Burp Suite插件使用Tips
网安君的博客
01-17 4904
基于实战的Burp Suite插件使用技巧 本篇文章首发于奇安信攻防社区 0×00前言 ​ Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。 Burp Suite可执行程序是java文件类型的jar文件,免费版的可以从免费版下载地址
Burp插件整理
wanan的博客
01-26 1366
Burp插件整理
Burpsuite插件开发(网络资学习笔记_burp插件开发)
热门推荐
天在等我,菜鸟想飞
12-30 1万+
开发语言选择 Burp suite支持三种语言的插件开发: 1、Java 2、Python 3、Ruby 综合个人的实际情况,选择了Java进行了开发(真实原因:Ruby没学、python插件调试不方便)。用Java开发的优势,这里不过多描述,毕竟Burpsuite都是Java写的,最起码Java开发插件的兼容性会好很多。 插件开发环境 JDK 环境 自己百度 编写软件 IDEA社区版 社区版对一般开发来说足够使用,还免费。为啥不用Eclipse,这个问题回答起来也很简答,因为界面丑。 maven 简要描
Day104:漏洞发现-漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先
qq_61553520的博客
04-17 577
小迪安全-Day104:漏洞发现-漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先
BurpSutie拓展插件推荐-原始模块增强插件
Boom!脑洞大爆炸的博客
07-04 922
BurpSutie拓展插件推荐-原始模块增强插件
burpsuit常用插件汇总
Thunderclap的博客
07-02 9169
burpsuit常用插件
Burpsuite配置BurpJSLinkFinder进行网页JS链接提取
Websec
03-05 1068
下载开项目,并且将其py文件(FransLinkfinder.py)放到python环境的lib\site-packages目录下。然后配置python环境的文件位置(需要精确到Lib\site-packages)BurpJSLinkFinder用于被动扫描 JS 文件获取js文件当中的链接。首先是配置jython standalone JAR的文件位置。3.2 然后去配置burpsuite的extender。点击add,选择python,将其文件导入进去即可。路径的话禁止中文命名,否则会报错。
burpsuite中常用插件
PureDust的博客
10-09 2300
burpsuite中常用插件js Link Finderlogger++BurpShiroPassiveScanFastjsonScan js Link Finder 1.安装的时候记得导入jython独立包: https://www.jython.org/download.html 2.安装扩展 3.使用插件 从js里面提取到了很多URL,都可以尝试访问一下,也许就有未授权访问 logger++ 1.安装扩展 2.使用扩展 这里还可以定义颜色,我设置了post为紫色,过滤规则用的某大佬的: Respo
前端加密爆破之Burp插件详解(jsEncrypter)
AlunXZhou的博客
07-10 1023
用phantomjs打开phantomjs_server.js脚本。补充说明jsEncrypter.0.3.2文件夹内的文件。、BurpSuite加载jsEncrypter插件。phantomjs_server.js中的内容。、下载phantomjs并设置环境变量。jsEncrypter插件burp插件中加密成功。
burpsuit插件Turbo Intruder:突破速率限制详解
渗透测试研究中心
03-22 1472
一、插件介绍TurboIntruder 是一个 Burp Suite 扩展插件,用于发送大量 HTTP 请求并分析结果,可拥抱十亿请求攻击。它旨在处理那些需要异常速度、持续时间或复杂性的攻击来补充BurpIntruder。二、插件原理使用第一次请求的时候就建立好连接,后续获取资都是通过这条连接来获取资的长连接,它还使用了HTTP 管道(HTTP Pipelining )的方式来发送 请求...
BurpSutie拓展插件推荐-辅助测试插件
Boom!脑洞大爆炸的博客
07-04 1867
BurpSutie拓展插件推荐-辅助测试插件
工具推荐——几个Burp插件
浪飒sec
09-18 2256
三个java的Burp插件Unexpected information :是用于标记请求包中的一些敏感信息、JS接口和一些特殊字段的BurpSuite 插件FastJsonScan一个简单的Fastjson反序列化检测burp插件HackBar:你懂的获取方式:关注浪飒sec公众号回复cjPython类插件https://github.com/theLSA/burp-unauth-checkerhttps://github.com/sting8k/BurpSuite_403Bypasserhttps://g
工具使用BurpSuite抓包工具使用详解
做自己喜欢的事,并将其发挥到极致!
03-18 4381
Burpsuite是一个用于测试Web应用程序安全性的图形化工具。该工具使用Java编写,由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版、专业版和试用后可以购买的企业版。社区版减少了许多功能。它是为网络应用程序安全检查提供全面解决方案而开发的。
log4j2 burp插件-Log4j2Scan(二)
siu~
03-14 1896
工具为被动扫描Log4j2漏洞`CVE-2021-44228`的BurpSuite插件,具有多DNSLog(后端)平台支持,支持异步并发检测、内网检测、延迟检测等功能。
如何使用Nmap、Sqlmap、Burpsuite等工具进行安全测试;
05-25
Nmap、Sqlmap、Burpsuite是非常流行的安全测试工具,可以帮助安全测试人员检测网络和应用程序中的漏洞和安全问题。以下是这些工具的简要说明和使用方法: 1. Nmap:Nmap是一款网络探测和安全测试工具,可以用于扫描网络上的主机和端口,识别主机操作系统和服务,检测漏洞等。常用命令包括: - 扫描目标主机:nmap [target IP] - 扫描指定端口:nmap -p [port number] [target IP] - 扫描指定端口范围:nmap -p [start port]-[end port] [target IP] - 探测主机操作系统:nmap -O [target IP] - 探测服务版本:nmap -sV [target IP] 2. Sqlmap:Sqlmap是一款自动化SQL注入工具,可以用于检测Web应用程序中的SQL注入漏洞。常用命令包括: - 检测SQL注入漏洞:sqlmap -u [target URL] - 指定数据库类型:sqlmap -u [target URL] --dbms=[database type] - 指定注入点参数:sqlmap -u [target URL] -p [parameter name] - 获取数据库信息:sqlmap -u [target URL] -D [database name] --tables - 获取表信息:sqlmap -u [target URL] -D [database name] -T [table name] --columns 3. Burpsuite:Burpsuite是一款用于拦截、修改和重发HTTP请求的代理工具,可以用于Web应用程序的安全测试。常用功能包括: - 拦截HTTP请求和响应:在Proxy -> Intercept页面启用拦截功能,可以手动拦截HTTP请求和响应,并对其进行修改和重发。 - 扫描Web应用程序:在Scanner -> Active Scan页面,可以对Web应用程序进行漏洞扫描,包括SQL注入、XSS等。 - 模拟攻击:在Intruder页面,可以模拟各种攻击,如密码猜测、文件包含、命令执行等。 - 破解会话:在Session Handling -> Session Management页面,可以对Web应用程序的会话进行管理和破解。 以上是这些工具的简要说明和使用方法,使用这些工具进行安全测试需要具备一定的技术水平和安全意识,建议在合法授权和合规的情况下进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值