电子说
BurpSuite在日常渗透测试中占据重要地位,是一款广受认可的渗透测试工具。通过其强大的功能和用户友好的界面,支持安全人员发现和修复Web应用程序中的潜在漏洞。不仅适用于初级渗透测试人员,也为高级安全专家提供了灵活性和定制性,使其能够更深入地分析和攻击应用程序。
选择了几个高star和近期更新过的BurpSuite插件,供参考。插件已打包下载,文末可获取,再结合github项目地址中的安装、详细用法可愉快的使用。
1、一个集成的BurpSuite漏洞探测插件
市面上各大漏洞探测插件的功能比较单一,因此与TsojanSecTeam成员决定在已有框架的基础上修改并增加常用的漏洞探测POC,它会以最少的数据包请求来准确检测各漏洞存在与否,你只需要这一个足矣。
2、一个burpsuite资产分析工具
主要集合了以下几个类别的功能:
资产收集管理的概念,用户可设置域名,插件会随着被动流量进行分析,提取属于目标的域名资产,并会对资产递归访问,快速发现更多业务
被动检测能力:基于代理过去的流量进行分析,尝试提取可疑脆弱点(插件不会发包)
主动检测能力:基于代理过去的流量,然后进行二次加工(插件会额外发包)
提供全局配置管理的界面,可选择对流量以及上述(2)(3)的功能进行配置
当然还提供一些蛮多细小功能,就供大家琢磨了
3、递归式被动检测脆弱路径的burp插件
RouteVulScan是使用java语言基于burpsuite api开发的可以递归检测脆弱路径的burp插件。
插件可以通过被动扫描的方式,递归对每一层路径进行路径探测,并通过设定好的正则表达式匹配响应包的关键字,展示在VulDisplay界面。可以自定义相关路径、匹配信息、与漏洞名称等。
插件重点是那些简单而有害的漏洞。这些漏洞通常不是固定路径,但可能位于路径的任何层。在这种情况下,非常容易忽视这些漏洞,而如果使用路径爆破,则非常耗时和麻烦。
所以插件主打是发送数量小、准确的payload,尽可能覆盖面广的探测一些容易忽略的漏洞。
4、一款绕过WAF、欺骗任何浏览器的burp插件
此扩展劫持 Burp 的 HTTP 和 TLS 堆栈,允许你欺骗任何浏览器 TLS 指纹 。它增强了 BurpSuite 的功能,同时降低了 CloudFlare、PerimeterX、Akamai、DataDome 等各种 WAF 进行指纹识别的可能性。
5、burpsuite自定义加解密插件
做一些app测试经常会遇到加密、签名的问题,这个插件可以帮助你进行重新签名、数据包解密、偷天换日...
审核编辑:汤梓红
全部0条评论
快来发表一下你的评论吧 !