0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

一个集成的BurpSuite漏洞探测插件

jf_hKIAo4na 来源:菜鸟学安全 2024-01-19 11:35 次阅读

BurpSuite在日常渗透测试中占据重要地位,是一款广受认可的渗透测试工具。通过其强大的功能和用户友好的界面,支持安全人员发现和修复Web应用程序中的潜在漏洞。不仅适用于初级渗透测试人员,也为高级安全专家提供了灵活性和定制性,使其能够更深入地分析和攻击应用程序。

选择了几个高star和近期更新过的BurpSuite插件,供参考。插件已打包下载,文末可获取,再结合github项目地址中的安装、详细用法可愉快的使用。

1、一个集成的BurpSuite漏洞探测插件

市面上各大漏洞探测插件的功能比较单一,因此与TsojanSecTeam成员决定在已有框架的基础上修改并增加常用的漏洞探测POC,它会以最少的数据包请求来准确检测各漏洞存在与否,你只需要这一个足矣。

a1c9eb00-b67a-11ee-8b88-92fbcf53809c.png

2、一个burpsuite资产分析工具

主要集合了以下几个类别的功能:

资产收集管理的概念,用户可设置域名,插件会随着被动流量进行分析,提取属于目标的域名资产,并会对资产递归访问,快速发现更多业务

被动检测能力:基于代理过去的流量进行分析,尝试提取可疑脆弱点(插件不会发包)

主动检测能力:基于代理过去的流量,然后进行二次加工(插件会额外发包)

提供全局配置管理的界面,可选择对流量以及上述(2)(3)的功能进行配置

当然还提供一些蛮多细小功能,就供大家琢磨了

a1da5904-b67a-11ee-8b88-92fbcf53809c.png

3、递归式被动检测脆弱路径的burp插件

RouteVulScan是使用java语言基于burpsuite api开发的可以递归检测脆弱路径的burp插件。

插件可以通过被动扫描的方式,递归对每一层路径进行路径探测,并通过设定好的正则表达式匹配响应包的关键字,展示在VulDisplay界面。可以自定义相关路径、匹配信息、与漏洞名称等。

插件重点是那些简单而有害的漏洞。这些漏洞通常不是固定路径,但可能位于路径的任何层。在这种情况下,非常容易忽视这些漏洞,而如果使用路径爆破,则非常耗时和麻烦。

所以插件主打是发送数量小、准确的payload,尽可能覆盖面广的探测一些容易忽略的漏洞。

a1e57c30-b67a-11ee-8b88-92fbcf53809c.png

4、一款绕过WAF、欺骗任何浏览器的burp插件

此扩展劫持 Burp 的 HTTP 和 TLS 堆栈,允许你欺骗任何浏览器 TLS 指纹 。它增强了 BurpSuite 的功能,同时降低了 CloudFlare、PerimeterX、Akamai、DataDome 等各种 WAF 进行指纹识别的可能性。

a1f0f970-b67a-11ee-8b88-92fbcf53809c.png

5、burpsuite自定义加解密插件

做一些app测试经常会遇到加密、签名的问题,这个插件可以帮助你进行重新签名、数据包解密、偷天换日...

a1f5446c-b67a-11ee-8b88-92fbcf53809c.png

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 应用程序
    +关注

    关注

    37

    文章

    3265

    浏览量

    57677
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15366
  • 插件
    +关注

    关注

    0

    文章

    326

    浏览量

    22440
  • GitHub
    +关注

    关注

    3

    文章

    468

    浏览量

    16427

原文标题:武装你的BurpSuite

文章出处:【微信号:菜鸟学安全,微信公众号:菜鸟学安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    IIS是微软的组件中漏洞最多的

    IIS: IIS是微软的组件中漏洞最多的,平均两三个月就要出漏洞,而微软的IIS默认安装
    发表于 09-03 14:16

    基于插件的房产GIS集成研究

    通过研究插件体系,提出基于插件的房产GIS集成方案。该方案无缝集成MIS、GIS和工作流,实
    发表于 07-26 16:59 9次下载

    干货:如何构建JavaScript插件系统(附源码)

    WordPress有插件、 jQuery有插件、Gatsby、Eleventy和Vue也是如此。插件是库和框架的常见功能,并且有很好的理
    的头像 发表于 09-02 11:24 3073次阅读
    干货:如何构建<b class='flag-5'>一</b><b class='flag-5'>个</b>JavaScript<b class='flag-5'>插件</b>系统(附源码)

    黑客利用远程代码执行漏洞,超过30万网站易受到攻击

    黑客正积极利用关键的远程代码执行漏洞,允许未经验证的攻击者在运行易受攻击的File Manager插件版本的WordPress站点上载脚本并执行任意代码。
    的头像 发表于 09-03 16:20 1836次阅读

    测试水平越权漏洞的基本思路

    越权结合其他漏洞提升危害等级。越权漏洞也可以结合Authz这类burp插件来测试,不过般都局限于查看操作的越权。
    的头像 发表于 07-22 11:01 3451次阅读

    用C++ 开发的可用于管理插件的开源架构 Pluma

    一个插件接口或插件类都有一一对应的 Provider 类,其中,插件接口对应的 Provider 类里会定义
    的头像 发表于 09-16 11:18 3246次阅读

    集成漏洞库介绍

    知识库,集成了Vulhub、Peiqi、EdgeSecurity、0sec、Wooyun等开源漏洞库,涵盖OA、CMS、开发框架、网络设备、开发语言、操作系统、Web应用、Web服
    的头像 发表于 11-21 09:22 1893次阅读

    款支持弱口令爆破的内网资产探测漏洞扫描工具SweetBabyScan

    轻量级内网资产探测漏洞扫描工具:SweetBabyScan,是款支持弱口令爆破的内网资产探测漏洞扫描工具,
    的头像 发表于 12-02 09:23 4857次阅读

    款支持弱口令爆破的内网资产探测漏洞扫描工具

    甜心宝贝是款支持弱口令爆破的内网资产探测漏洞扫描工具,集成了Xray与Nuclei的Poc。
    的头像 发表于 12-14 09:48 3967次阅读

    介绍开源的制作交互式BOM的AD插件

    介绍开源的制作交互式BOM的AD插件
    的头像 发表于 01-10 14:15 6557次阅读
    介绍<b class='flag-5'>一</b><b class='flag-5'>个</b>开源的制作交互式BOM的AD<b class='flag-5'>插件</b>!

    BurpSuite多功能辅助插件配置介绍

    介绍 knife是BurpSuite插件,主要目的是对Burp做些小的改进,让使用更方便。就像用
    的头像 发表于 05-18 14:45 1535次阅读
    <b class='flag-5'>BurpSuite</b>多功能辅助<b class='flag-5'>插件</b>配置介绍

    如何用Burpsuite抓取exe数据包?

    前几天在群里看到有师傅在问如何用Burpsuite抓取exe数据包的问题?所以想着写篇文章简单记录Burpsuite+Proxifier抓取exe数据包的方法。
    的头像 发表于 06-12 16:12 6534次阅读
    如何用<b class='flag-5'>Burpsuite</b>抓取exe数据包?

    款想替代并超越burpsuite的网络安全单兵工具

    Burpsuite几乎成为全球WEB安全从业者必装的安全测试工具,然而十余年来尚无可替代的解决方案。破解版被投毒风险高、商业版太贵、插件难写、依赖java等等问题逐渐显露。我们团队
    的头像 发表于 07-05 10:04 1608次阅读
    <b class='flag-5'>一</b>款想替代并超越<b class='flag-5'>burpsuite</b>的网络安全单兵工具

    微软五月补丁修复61安全漏洞,含3零日漏洞

    值得注意的是,此次修复并不包含5月2日修复的2微软Edge漏洞以及5月10日修复的4漏洞。此外,本月的“补丁星期二”活动还修复了3零日
    的头像 发表于 05-15 14:45 684次阅读

    Chrome浏览器插件

    、什么是浏览器插件 浏览器插件是依附于浏览器,用来拓展网页能力的程序。插件具有监听浏览器事件、获取和修改网页元素、拦截网络请求、添加快捷菜单等功能。使用浏览器
    的头像 发表于 11-18 17:12 292次阅读
    写<b class='flag-5'>一</b><b class='flag-5'>个</b>Chrome浏览器<b class='flag-5'>插件</b>