BurpSuite在日常滲透測(cè)試中占據(jù)重要地位,是一款廣受認(rèn)可的滲透測(cè)試工具。通過(guò)其強(qiáng)大的功能和用戶友好的界面,支持安全人員發(fā)現(xiàn)和修復(fù)Web應(yīng)用程序中的潛在漏洞。不僅適用于初級(jí)滲透測(cè)試人員,也為高級(jí)安全專家提供了靈活性和定制性,使其能夠更深入地分析和攻擊應(yīng)用程序。
選擇了幾個(gè)高star和近期更新過(guò)的BurpSuite插件,供參考。插件已打包下載,文末可獲取,再結(jié)合github項(xiàng)目地址中的安裝、詳細(xì)用法可愉快的使用。
1、一個(gè)集成的BurpSuite漏洞探測(cè)插件
市面上各大漏洞探測(cè)插件的功能比較單一,因此與TsojanSecTeam成員決定在已有框架的基礎(chǔ)上修改并增加常用的漏洞探測(cè)POC,它會(huì)以最少的數(shù)據(jù)包請(qǐng)求來(lái)準(zhǔn)確檢測(cè)各漏洞存在與否,你只需要這一個(gè)足矣。
2、一個(gè)burpsuite資產(chǎn)分析工具
主要集合了以下幾個(gè)類別的功能:
資產(chǎn)收集管理的概念,用戶可設(shè)置域名,插件會(huì)隨著被動(dòng)流量進(jìn)行分析,提取屬于目標(biāo)的域名資產(chǎn),并會(huì)對(duì)資產(chǎn)遞歸訪問(wèn),快速發(fā)現(xiàn)更多業(yè)務(wù)
被動(dòng)檢測(cè)能力:基于代理過(guò)去的流量進(jìn)行分析,嘗試提取可疑脆弱點(diǎn)(插件不會(huì)發(fā)包)
主動(dòng)檢測(cè)能力:基于代理過(guò)去的流量,然后進(jìn)行二次加工(插件會(huì)額外發(fā)包)
提供全局配置管理的界面,可選擇對(duì)流量以及上述(2)(3)的功能進(jìn)行配置
當(dāng)然還提供一些蠻多細(xì)小功能,就供大家琢磨了
3、遞歸式被動(dòng)檢測(cè)脆弱路徑的burp插件
RouteVulScan是使用java語(yǔ)言基于burpsuite api開(kāi)發(fā)的可以遞歸檢測(cè)脆弱路徑的burp插件。
插件可以通過(guò)被動(dòng)掃描的方式,遞歸對(duì)每一層路徑進(jìn)行路徑探測(cè),并通過(guò)設(shè)定好的正則表達(dá)式匹配響應(yīng)包的關(guān)鍵字,展示在VulDisplay界面??梢宰远x相關(guān)路徑、匹配信息、與漏洞名稱等。
插件重點(diǎn)是那些簡(jiǎn)單而有害的漏洞。這些漏洞通常不是固定路徑,但可能位于路徑的任何層。在這種情況下,非常容易忽視這些漏洞,而如果使用路徑爆破,則非常耗時(shí)和麻煩。
所以插件主打是發(fā)送數(shù)量小、準(zhǔn)確的payload,盡可能覆蓋面廣的探測(cè)一些容易忽略的漏洞。
4、一款繞過(guò)WAF、欺騙任何瀏覽器的burp插件
此擴(kuò)展劫持 Burp 的 HTTP 和 TLS 堆棧,允許你欺騙任何瀏覽器 TLS 指紋 。它增強(qiáng)了 BurpSuite 的功能,同時(shí)降低了 CloudFlare、PerimeterX、Akamai、DataDome 等各種 WAF 進(jìn)行指紋識(shí)別的可能性。
5、burpsuite自定義加解密插件
做一些app測(cè)試經(jīng)常會(huì)遇到加密、簽名的問(wèn)題,這個(gè)插件可以幫助你進(jìn)行重新簽名、數(shù)據(jù)包解密、偷天換日...
審核編輯:湯梓紅
-
應(yīng)用程序
+關(guān)注
關(guān)注
37文章
3221瀏覽量
57499 -
漏洞
+關(guān)注
關(guān)注
0文章
203瀏覽量
15332 -
插件
+關(guān)注
關(guān)注
0文章
318瀏覽量
22376 -
GitHub
+關(guān)注
關(guān)注
3文章
461瀏覽量
16324
原文標(biāo)題:武裝你的BurpSuite
文章出處:【微信號(hào):菜鳥(niǎo)學(xué)安全,微信公眾號(hào):菜鳥(niǎo)學(xué)安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論