Najbardziej przydatne wtyczki do Burp Suite

Niniejszy wpis jest uzupełnieniem mojej prezentacji w ramach The Hack Summit 2023, gdzie przedstawię, jak za pomocą kilku wtyczek do Burp Suite można przyspieszyć i ułatwić przeprowadzanie testów penetracyjnych aplikacji webowych.

Poniżej znajduje się zestawienie najbardziej przydatnych wtyczek do Burp Suite, z których sam korzystam. Część z nich nie jest dostępna w ramach wbudowanego BApp Store, ale z łatwością można je znaleźć na GitHubie twórców.

  • ATOR: Automatyzuje proces logowania do aplikacji i utrzymanie aktywnej sesji.
  • Backslash Powered Scanner: Dodaje nieklasyczne typy testów do aktywnego skanera Burpa, umożliwiając wykrycie nietypowego zachowania serwera.
  • Collabfiltrator: Pomaga w eksfiltracji danych wyjściowych z udalonych wykonanć kodu przez DNS za pomocą Burp Collaborator.
  • Hackvertor: Narzędzie do szybkiej konwersji różnych kodowań, w tym HTML5, szesnastkowego, ósemkowego, Unicode, i kodowania URL.
  • http Request Smuggler: Służy do poszukiwania luk w zabezpieczeniach związanych z przemytem żądań.
  • Java Deserialization Scanner: Znajduje luki związane z błędami deserializacji Java.
  • J2EEScan: Dodaje ponad 80 unikalnych testów do skanera umożliwiających znalezienie błędów w J2EE.
  • JSON Web Tokens: Pozwala na dekodowanie i manipulowanie tokenami JWT, sprawdzanie ich ważności oraz automatyzacje ataków.
  • JS Miner: Pomaga znaleźć interesujące rzeczy w plikach statycznych, głównie w plikach JavaScript i JSON.
  • .NET Beautifier: Poprawia czytelność żądań .NET.
  • OAUTH Scan: Wykrywa luki w zabezpieczeniach OAUTHv2/OpenID.
  • Param Miner: Identyfikuje ukryte parametry w żądaniach.
  • RegexFinder: Umożliwia pasywne skanowanie odpowiedzi serwera w poszukiwaniu wzorców wyrażeń regularnych.
  • Request Timer: Bada czas odpowiedzi serwera i porównuje go między poszczególnymi żądaniami.
  • Retire.js: Integruje narzędzie Burp Suite z repozytorium Retire.js w celu wykrywania podatnych bibliotek JavaScript.
  • SAML Raider: Rozszerzenie Burp Suite do testowania infrastruktur SAML.
  • Turbo Intruder: Umożliwia bardzo szybkie wysyłanie dużej liczby żądań HTTP oraz analizę odpowiedzi.
  • Upload Scanner: Automatyzuje znajdowanie błędów bezpieczeństwa związanych z wgrywaniem plików na serwer.
  • Autorize: Pomaga w wykryciu błędów związanych z autoryzacją.
  • AutoRepeater: Pozwala na automatyczne powtarzanie żądania z dodanymi przez nas elementami.
  • Hopla: Dodaje funkcje autouzupełniania oraz wybierania z menu kontekstowego popularnych payloadów wykorzystywanych w atakach.

Jeśli znasz inne wtyczki, które znacząco ułatwiają Twoją pracę, proszę, podziel się nimi w komentarzu.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , .Dodaj do zakładek Link.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *