最も便利なBurp Suiteプラグイン

この投稿は、The Hack Summit 2023での私のプレゼンテーションを補完するものであり、いくつかのBurp Suiteプラグインを使用して、Webアプリケーションのペネトレーションテストを迅速かつ簡単に行う方法を紹介します。

以下は、私が使用している最も便利なBurp Suiteプラグインのリストです。いくつかは内蔵のBApp Storeにはありませんが、GitHubで簡単に見つけることができます。

  • ATOR: アプリケーションへのログインプロセスを自動化し、アクティブなセッションを維持します。
  • Backslash Powered Scanner: Burpのアクティブスキャナーに非標準のテストタイプを追加し、サーバーの異常な動作を検出します。
  • Collabfiltrator: DNSを介してBurp Collaboratorでリモートコード実行の出力データを抽出するのに役立ちます。
  • Hackvertor: HTML5、16進数、8進数、Unicode、URLエンコーディングなどのさまざまなエンコーディングを迅速に変換するツールです。
  • http Request Smuggler: リクエストスマグリングに関連する脆弱性を検出します。
  • Java Deserialization Scanner: Javaの逆シリアル化に関連する脆弱性を検出します。
  • J2EEScan: J2EEの脆弱性を検出するための80以上のユニークなテストをスキャナーに追加します。
  • JSON Web Tokens: JWTトークンのデコード、操作、有効性のチェック、および攻撃の自動化を行います。
  • JS Miner: 主にJavaScriptおよびJSONファイルの静的ファイルから興味深いものを見つけます。
  • .NET Beautifier: .NETリクエストの可読性を向上させます。
  • OAUTH Scan: OAUTHv2/OpenIDの脆弱性を検出します。
  • Param Miner: リクエスト内の隠れたパラメータを特定します。
  • RegexFinder: サーバー応答を受動的にスキャンし、正規表現パターンを検索します。
  • Request Timer: サーバーの応答時間を調査し、リクエスト間で比較します。
  • Retire.js: Burp SuiteをRetire.jsリポジトリと統合し、脆弱なJavaScriptライブラリを検出します。
  • SAML Raider: SAMLインフラストラクチャのテストを行うためのBurp Suite拡張機能です。
  • Turbo Intruder: 大量のHTTPリクエストを非常に高速で送信し、応答を分析します。
  • Upload Scanner: ファイルアップロードに関連するセキュリティの脆弱性を自動的に検出します。
  • Autorize: 認証関連の脆弱性を検出します。
  • AutoRepeater: 特定の要素を追加したリクエストを自動的に繰り返し送信します。
  • Hopla: 攻撃に使用される一般的なペイロードを自動補完およびコンテキストメニュー選択機能を追加します。

他に役立つプラグインを知っている場合は、コメントで共有してください。

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

タグ , , , , . ブックマークする パーマリンク.

この記事についてのあなたの意見を教えてください.