Burp Suite最实用的插件

这篇文章是我在2023年Hack Summit活动中演讲的补充内容,我将向大家展示如何使用Burp Suite的一些插件来加速和简化Web应用程序的渗透测试。

以下是我使用的Burp Suite中最实用的插件列表。其中一些插件并不在内置的BApp Store中,但可以在开发者的GitHub页面上轻松找到。

  • ATOR: 自动化应用程序登录过程,保持活动会话。
  • Backslash Powered Scanner: 为活动Burp扫描器添加非传统测试类型,允许检测服务器的异常行为。
  • Collabfiltrator: 协助从远程代码执行中通过DNS进行数据外泄,使用Burp Collaborator。
  • Hackvertor: 快速转换工具,支持各种编码,包括HTML5、十六进制、八进制、Unicode和URL编码。
  • http Request Smuggler: 用于查找与请求流量相关的漏洞。
  • Java Deserialization Scanner: 查找与Java反序列化错误相关的漏洞。
  • J2EEScan: 为扫描器添加80多个独特测试,用于发现J2EE中的错误。
  • JSON Web Tokens: 解码和操作JWT令牌,检查其有效性并自动化攻击。
  • JS Miner: 帮助在静态文件中找到有趣的内容,主要是JavaScript和JSON文件。
  • .NET Beautifier: 提高.NET请求的可读性。
  • OAUTH Scan: 发现与OAUTHv2/OpenID相关的漏洞。
  • Param Miner: 识别请求中的隐藏参数。
  • RegexFinder: 允许对服务器响应进行被动扫描,寻找正则表达式模式。
  • Request Timer: 测试服务器响应时间,并在不同请求之间进行比较。
  • Retire.js: 将Burp Suite集成到Retire.js存储库中,以便发现易受攻击的JavaScript库。
  • SAML Raider: 用于测试SAML基础设施的Burp Suite扩展。
  • Turbo Intruder: 允许快速发送大量HTTP请求并分析响应。
  • Upload Scanner: 自动查找与文件上传到服务器相关的安全漏洞。
  • Autorize: 帮助检测与授权相关的错误。
  • AutoRepeater: 允许自动重复带有我们添加元素的请求。
  • Hopla: 为Burp Suite添加了自动完成和从常用攻击中选择的上下文菜单功能。

如果您知道其他能极大简化您工作的插件,请在评论区分享。

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注