【Burp入门第二十二篇】BurpSuite配置Hea插件教程+添加配置项

已于 2025-03-15 08:53:07 修改
阅读量8.8k 收藏 25
点赞数 17
CC 4.0 BY-SA版权
分类专栏: BurpSuite入门教程(附实战图文) 文章标签: 渗透工具 Burpsuite
于 2024-03-22 09:18:14 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/136927469
本文介绍了Burp Suite的重要辅助插件Hae,包括其安装教程、配置步骤和常见配置项,如JSON Web Token、子域名规则、IP匹配、文件上传检测等,帮助用户更高效地进行Web安全测试。

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |优快云秋说】

在这里插入图片描述

文章目录

简介

HaE是一个基于BurpSuite Java插件API开发的辅助型框架式插件,旨在实现对HTTP消息的高亮标记和信息提取。该插件通过自定义正则表达式匹配响应报文或请求报文,并对匹配成功的报文进行标记和提取。

Hae安装教程

下载地址:

https://github.com/gh0stkey/HaE/releases/tag/2.4.2

选择下图的两个文件:

在这里插入图片描述

zip文件下载完成后解压至Burp同目录:

在这里插入图片描述

将下载的jar文件放入HaE文件夹中:

在这里插入图片描述

接着打开Burp,在扩展中点击添加,再选择刚刚下载的HaE文件,再点击下一个:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
漏洞挖掘之工具配置
qq_64775230的博客
07-15 3010
本文主要讲解burp工具的插件安装。
Burp入门第二十六Burpsuite实现请求方式修改+请求体文件选取
等风来
04-08 4102
有时我们想将请求包的请求方法或请求体进行修改,这些操作可以由burpsuite完成,以节省时间。如果我们想将其修改为POST且传递POST参数、上传文件,可以按以下步骤
BurpSuit插件HaE - 信息高亮与提取者
千寻的博客
10-10 1万+
HaE是基于插件API 开发的请求高亮标记与信息提取的辅助型框架式插件,该插件可以通过自定义正则的方式匹配响应报文或请求报文,并对满足正则匹配的报文进行信息高亮与提取。现代化Web应用走上前后端分离开发模式,这就导致在日常测试时候会有许多的流量,如果你想要尽可能全面的对一个Web应用进行测试评估,将花费大量精力浪费在无用的报文上;HaE的出现正是为了解决这一类似场景,借助HaE你可以有效的减少测试的时间,将更多的精力放在有价值、有意义的报文上,提高漏洞挖掘效率。主要功能。
BurpSuite插件HaE(关键字)
热门推荐
malathonsec
03-23 1万+
插件链接: Release HaE 2.1.5 · gh0stkey/HaE · GitHub 规则链接: https://gh0st.cn/HaE/ config.yml文件在安装burpsuite的目录下 将规则复制进去即可 结果:
HaE插件快速上手:Burp Suite高效安全检测终极指南
最新发布
gitblog_00536的博客
11-19 944
HaE插件作为Burp Suite生态中的高效安全检测利器,通过智能标记和精准提取技术,帮助安全测试人员在海量HTTP流量中快速定位关键信息。本文将为网络安全新手和普通渗透测试人员提供完整的安装配置指南。 ## 项目核心价值 HaE采用乐高积木式模块化设计,通过多引擎正则表达式匹配技术,实现对HTTP请求和响应消息的精细化处理。在前后端分离架构盛行的当下,安全测试过程中捕获的HTTP流量急剧增
burp插件Authz与HaE
xhscxj的博客
09-19 7845
Authz可通过burp中BApp Store进行下载用来检测未授权漏洞,选择数据包将需要进行测试的数据发送到Authz模块中,在此处Cookie中随便输入,就会携带你输入的cookie去访问目标,点击run进行测试,如果返回的数字一样就存在未授权访问因为我们这里的url是随便找的,登录与不登录都能访问,所以这里返回的数字是一样的,此处是不存在未授权访问的。
BurpSuite使用的插件HaE-2.6.1.jar
05-01
BurpSuite上使用的插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
HaE:HaE-BurpSuite荧光笔和提取器
03-20
HaE-荧光笔和提取器 注意:我的英语不是很好,谢谢! 阅读简体中文版本( )。 公开规则 网址: : 介绍 HaE用于突出显示HTTP请求并从HTTP response messages或request messages提取信息。 该插件可以自定义正则表达式以匹配HTTP响应消息。您可以自己决定是否需要突出显示满足自定义正则表达式匹配的相应请求并提取信息。 注意:使用HaE要求测试人员具备基本的正则表达式基础。由于Java正则表达式库不如Python优雅或方便,因此在使用正则表达式时,HaE要求用户使用()提取所需内容。例如,如果要匹配Shiro应用程序的响应消息,则正常的匹配规则是rememberMe=delete ,如果要提取此内容,则需要成为(rememberMe=delete) 。 指示 加载: Extender - Extensions - Add - Select Fi
BurpSuite插件HaE与Authz用法(傻瓜式 详细)
wifcnd的博客
03-28 1万+
BurpSuite插件HaE与Authz用法(傻瓜式 详细)
武装Burp Suite工具:HaE 分析辅助类_插件.【高亮标记和信息提取利器】
网络安全领域___专研者.
04-22 1215
​​HaE 分析辅助类​​是一款基于正则表达式的高效数据提取与标记工具,常用于安全测试、日志分析等场景,通过预定义规则快速定位敏感信息(如API密钥、URL参数),提升分析自动化程度。
Burpsuite插件之logger++使用方法1
08-03
用户需要确保Burpsuite支持加载第三方插件,并按照官方或开发者提供的指南正确配置。 ### Logger++使用方法 #### 正常启动代理 使用Logger++时,用户只需像平时一样开启Burpsuite代理,无需进行特殊设置,Logger++...
Burp入门第三十二】Autorize插件安装使用教程+越权实战案例
等风来
04-18 4334
Autorize是一个旨在帮助渗透测试人员检测授权漏洞的扩展。将低权限用户的cookie提供给扩展程序并使用高权限用户浏览网站,该扩展会自动重复每一个请求与低权限用户的会话并检测授权漏洞;除了授权漏洞之外,还可以在没有任何cookie的情况下重复每一个请求,以检测身份验证漏洞;报告的执行状态如下:绕过!-红色强制执行!-绿色强制执行???(请配置强制检测器) -黄色。
Burp入门第二十五Burpsuite爆破模块参数加密+Tips特殊技巧
等风来
04-08 2808
往往是较为复杂且随机的,此时用burp进行爆破来证明未授权访问是不现实的,最好的办法是注册两个,这样即可证明存在该漏洞。由于开启了302跟随跳转,爆破成功后显示的length将不同于爆破失败的length,从而避免了。的用户名密码字典(在这个场景中,实则是对用户名与密码都进行爆破,也称为撞库)注意点:验证码区间为0000~9999,而不是默认最少为1000。场景:验证码为四位数,且十分钟后过期,则此时可能爆破得到验证码。如果进行手工测试,则需把字典进行加密,再重发请求包,较为耗时。
总结 BurpSuite 插件 HaE 与 Authz 用法!!!
logic1001的博客
12-18 2149
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 2252
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
BurpSuite——HaE插件使用
ygylemon的博客
02-04 2593
有的小伙伴下载好HaE之后并没有出现高亮提示,翻阅文章发现是版本不对的原因,如果burpsuite版本小于等于2023.12.1,哪么使用HaE 3.x版本系列的就会报错,比如加载插件时就直接报错、加载成功后没有高亮标记等等问题。然后HaE的默认规则在C:\Users\你的名字\.config\HaE下。选择HaE刚下载好的地方,就会出现HaE的拓展了。
详细教学:BurpSuite插件 HaE 与 Authz 的用法
资深程序员,曾自学JAVA,C#,如今从业于网安行业
12-18 1825
如果你也想学习:黑客&网络安全HaE与Authz均为BurpSuite插件生态的一员,两者搭配可以避免“越权”、“未授权”两类漏洞的重复测试行为。(适用于业务繁杂,系统模块功能多的场景)两个插件都可以在store里安装安装完后,点击Filter Settings勾选Show only highlighter items右键点击高亮项目发送到Authzcookie可以设为123或空,然后点run。
Burp插件 | 敏感信息提取 | Hae插件
weixin_66717977的博客
03-13 2316
burp插件敏感信息提取hae插件
BurpSuite插件HaE与Authz用法
A1_3_9_7的博客
12-17 1208
HaE与Authz均为BurpSuite插件生态的一员,两者搭配可以避免“越权”、“未授权”两类漏洞的重复测试行为。(适用于业务繁杂,系统模块功能多的场景)两个插件都可以在store里安装安装完后,点击Filter Settings勾选Show only highlighter items右键点击高亮项目发送到Authzcookie可以设为123或空,然后点run如果Orig Response Size和Response Size相等,说明可能存在未授权访问漏洞=========
Burp Suite 安装与环境配置:全面中文教程
教程的第一章着重于Burp Suite的基础配置。首先,从命令行启动Burp Suite需要确保已经安装了Java运行环境(JRE),通过输入`java -version`验证配置。启动方式是通过执行`java -jar burpSuite.jar`,路径需替换为...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值