一个集成的BurpSuite漏洞探测插件

电子说

1.3w人已加入

描述

BurpSuite在日常渗透测试中占据重要地位,是一款广受认可的渗透测试工具。通过其强大的功能和用户友好的界面,支持安全人员发现和修复Web应用程序中的潜在漏洞。不仅适用于初级渗透测试人员,也为高级安全专家提供了灵活性和定制性,使其能够更深入地分析和攻击应用程序。

选择了几个高star和近期更新过的BurpSuite插件,供参考。插件已打包下载,文末可获取,再结合github项目地址中的安装、详细用法可愉快的使用。

1、一个集成的BurpSuite漏洞探测插件

市面上各大漏洞探测插件的功能比较单一,因此与TsojanSecTeam成员决定在已有框架的基础上修改并增加常用的漏洞探测POC,它会以最少的数据包请求来准确检测各漏洞存在与否,你只需要这一个足矣。

插件

2、一个burpsuite资产分析工具

主要集合了以下几个类别的功能:

资产收集管理的概念,用户可设置域名,插件会随着被动流量进行分析,提取属于目标的域名资产,并会对资产递归访问,快速发现更多业务

被动检测能力:基于代理过去的流量进行分析,尝试提取可疑脆弱点(插件不会发包)

主动检测能力:基于代理过去的流量,然后进行二次加工(插件会额外发包)

提供全局配置管理的界面,可选择对流量以及上述(2)(3)的功能进行配置

当然还提供一些蛮多细小功能,就供大家琢磨了

插件

3、递归式被动检测脆弱路径的burp插件

RouteVulScan是使用java语言基于burpsuite api开发的可以递归检测脆弱路径的burp插件。

插件可以通过被动扫描的方式,递归对每一层路径进行路径探测,并通过设定好的正则表达式匹配响应包的关键字,展示在VulDisplay界面。可以自定义相关路径、匹配信息、与漏洞名称等。

插件重点是那些简单而有害的漏洞。这些漏洞通常不是固定路径,但可能位于路径的任何层。在这种情况下,非常容易忽视这些漏洞,而如果使用路径爆破,则非常耗时和麻烦。

所以插件主打是发送数量小、准确的payload,尽可能覆盖面广的探测一些容易忽略的漏洞。

插件

4、一款绕过WAF、欺骗任何浏览器的burp插件

此扩展劫持 Burp 的 HTTP 和 TLS 堆栈,允许你欺骗任何浏览器 TLS 指纹 。它增强了 BurpSuite 的功能,同时降低了 CloudFlare、PerimeterX、Akamai、DataDome 等各种 WAF 进行指纹识别的可能性。

插件

5、burpsuite自定义加解密插件

做一些app测试经常会遇到加密、签名的问题,这个插件可以帮助你进行重新签名、数据包解密、偷天换日...

插件

  审核编辑:汤梓红

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分