【Burp入门第二十七篇】配合Burpsuite使用的Google插件(Wappalyzer、FindSomething、FOFAproView等)

已于 2024-05-24 14:46:31 修改
阅读量3.2k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: BurpSuite入门教程(附实战图文) 文章标签: 渗透工具 Burpsuite
于 2024-04-09 14:43:32 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/137518308
本文介绍了如何配合Burpsuite使用一系列Google插件,如Wappalyzer(识别网站技术)、FindSomething(提取网页信息)、FOFA Pro View(资产展示)、superSearchPlus(信息收集)、wayback machine(网站历史)、source detector(源码还原)和X-Forwarded-For Header(IP欺骗)。这些插件在Web渗透测试和漏洞挖掘中非常实用。

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |优快云秋说】

在这里插入图片描述

文章目录

以下插件均在Google应用商店中下载

Wappalyzer

Wappalyzer是一个用于识别网站所使用的技术和工具的浏览器扩展程序。它能够检测出网站所使用的内容管理系统(CMS)、电子商务平台、服务器端编程语言、JavaScript库、分析工具等等。

在这里插入图片描述

示例:

在这里插入图片描述

FindSomething

FindSomething 用于快速在网页的html源码或js代码中提取一些有趣的信息,包括可能请求的资源、接口的url,可能请求的ip和域名,泄漏的phone、邮箱等敏感信息。

在这里插入图片描述

示例:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Burp入门第三十BurpSuite并发插件Turbo Intruder安装及使用详细教程
等风来
04-14 6238
该窗口上半部分区域为原始的HTTP请求包,下半部分为操作代码,中间部分可以根据场景从下拉框中选择具体操作代码。每次打开并发窗口时,下拉框默认为Last code used,即为上次使用的代码。本主要介绍turbo intruder的两种安装方式及使用教程。2、若在BurpSuite中无法直接安装,可手动添加该插件。1、将请求包发送至turbo intruder模块。并发窗口介绍完毕,下面介绍如何实现并发。要实现并发操作,可按照以下步骤。5、通过长度判断是否并发成功。3、在请求包中任意位置添加。
漏洞挖掘:未授权访问和敏感信息泄露_测试.
网络安全领域___专研者.
04-25 663
SRC漏洞挖掘是网络安全领域的重要活动,指安全研究人员(白帽子)通过技术手段发现企业或机构网站、应用程序等资产中的安全漏洞,并通过合法平台提交漏洞报告,帮助目标方修复隐患的过程。其核心目标是提升系统安全性,防止黑客攻击和数据泄露。
googleauthenticator:Burp Suite插件,可动态生成用于会话处理规则的Google 2FA代码(由PortSwigger批准,可包含在其官方BApp Store中)
02-03
GoogleAuthenticator Burp Suite扩展程序,用于将当前的Google两因素身份验证(2FA)代码应用于相关请求。 这个Burp Suite扩展程序将Burp变成了Google Authenticator客户端。 当前的Google 2FA代码会自动应用于相关请求中的定制位置。 以下链接提供了有关双重身份验证的更多信息: 用户界面 区域1:秘密共享密钥,用于使用RFC4226和RFC6238中指定的TOTP算法生成Google 2FA代码。 区域2:会话处理规则的正则表达式,以匹配并替换为当前的Google 2FA代码。 区域3:Google 2FA实时生成代码。 例 问题 我们已受委托在上执行Web应用程序渗透测试。 该Web应用程序实现了一个包含Google 2FA的登录表单,用于附加防御层(防止自动攻击,例如强行攻击)。 客户向我们提供了测试凭据以及用于设置Google Authenticator移动应用程序以允许经过验证的测试的链接。 使用以下请求执行登录(在此示例中, pin JSON参数为Google 2FA)。 POST /api
Burpsuite 重要插件
weixin_34129696的博客
05-13 325
1.Gason:Burpsuite-sqlmap插件,该插件可以让burp与sqlmap轻松对接,深度发掘SQL注入漏洞.   2.fuzzdb:fuzzing测试数据库,开源,深度测试SQL注入,xss,文件上传/解析等漏洞(结合intruder使用).   3.bypasswaf:让你轻松绕过waf防御(不要迷信waf).   Reference:A.gasonhttp://w...
谷歌+burpsuite+ZeroOmega
xingyuno的博客
04-05 3245
本文为解决谷歌浏览器后续不支持SwitchyOmega后,使用ZeroOmega插件实现平替。同时解决在使用ZeroOmega使用代理模式时,burpsuite因为流量问题导致的无法使用谷歌引擎的问题。
[网安工具] 浏览器敏感信息收集插件 —— FindSomething · 使用手册
最新发布
Blue17 の 小窝
05-06 6871
该工具用于快速的在网页的 HTML 或 JS 代码中提取一些敏感信息,包括站点可能请求的资源、接口的 URL,站点可能请求的 IP 和 域名,泄露的证件号、手机号、邮箱等信息。然后你就可以照常使用这个插件了(最后备注,那个解压后的文件夹千万不要删!,它就变成了一个压缩包文件,此时解压这个压缩包,你会得到一个文件夹(解压后,点击 “添加” 后,插件就会安装成功(安装成功后,用于安装的。0x0201:Google Chrome 浏览器安装插件。从笔者上面提供的链接中,将压缩包下载下来并解压(
渗透测试工具及插件第一期-FindSomething
weixin_45802999的博客
04-18 9195
这一期给大家讲一个浏览器插件FindSomething,可以说是好用,快速出洞(前提是存在的情况下),他的原理是什么呢,其实就是爬取网站中的源码和JS文件,看是否存在未授权访问的API接口,可以说是出道及巅峰很省事,废话不多说,给大家演示操作。3、你以为只有这些吗,那就大错特错,想想,万一泄露的接口路径有几百上千个你真的要拿手去一个一个拼接吗?2、这时候打开你要测试的系统,点开他,你会发现它里面爬取了很多路径,嘿嘿,这时候就可以把这些路径复制下来拼接到网站域名后面,如果存在未授权接口,恭喜你找到了漏洞。
Burp Suite-APIKit插件
03-02
Burp Suite 插件大全
BurpSuite常用插件
12-11
BurpSuite常用插件,包含jython-standalone-2.7.1、AES_Killer、BpScan、burp-clj-0.5、BurpFastJsonScan-2.1.0-jdk1.8、BurpShiroPassiveScan_1.7.6、BurpShiroPassiveScan_moblie、chunked-coding-converter.0.2.1...
BurpSuite使用插件HaE-2.6.1.jar
05-01
BurpSuite使用插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
fofa_view:FOFA Pro视图是一个FOFA Pro资产展示浏览器插件,目前兼容Chrome,Firefox,Opera
01-28
FOFA Pro视图 FOFA Pro视图是一个FOFA Pro资产展示浏览器插件,目前兼容 , , 。 Fofa Pro View插件会告诉您网站的托管位置(国家/地区,城市),谁拥有IP,还有哪些其他服务/端口处于打开状态。 适用于Chrome的Fofa Pro View插件会自动检查Fofa Pro是否具有当前网站的任何信息。 该网站是否还运行FTP,DNS,SSH或某些异常服务? 使用插件,您可以查看Fofa Pro在给定的网站/域上收集的所有信息。 项目地址: : 安装 Chrome 手动安装 下载版本: : 解压插件压缩包,打开chrome:// extensions /并打开开发者模式,点击加载已解压的扩展程序选择已经解压的插件目录进行加载。 商城安装 火狐 手动安装 下载版本: : 解压插件压缩包,打开有关:debugging#/ runtime / this-firefox点击临时载入附加组件…选择下载的插件压缩包。 商城安装 更新日志 2020-07-18 优化:对接新版FOFA Pro 优化:协议,端口图标 新增:IP所属组织,ASN 新增:IP
xwf source detecotor-crx插件
03-10
Chrome extension,用于发现源码文件(*.map) 支持语言:English
Burpsuite也能配合谷歌浏览器使用foxyproxy了,Foxyproxy离线下载安装使用
qq_37776764的博客
04-28 2250
Burpsuite也能配合谷歌浏览器使用foxyproxy了,Foxyproxy离线下载安装使用
burpsuite 五种代理抓包方式(本地、谷歌、火狐浏览器两种插件
热门推荐
qq_37776764的博客
04-09 2万+
burpsuite 五种代理抓包方式(本地、谷歌、火狐浏览器两种插件
Burp suite 的安装和使用(谷歌上配置,其他浏览器也同理)
weixin_66202187的博客
01-01 2817
下载地址在该文章的最后面,有汉化版和英文版。按需索取。
谷歌安装SwitchyOmega burp联动
weixin_51387754的博客
10-26 1941
安装步骤 下载https://github.com/FelisCatus/SwitchyOmega/releases 删除后 proxy代理设置最后点应用选项 尝试使用
【SRC挖掘】小技巧(附链接)burp如何使用谷歌浏览器抓包?SwitchyOmega的使用方式、如何过滤burp中的杂包?burp怎么挂二级代理?有哪些Burp插件可以让测试事半功倍?
m0_62783065的博客
08-02 2065
【SRC挖掘】小技巧(附链接)burp如何使用谷歌浏览器抓包?SwitchyOmega的使用方式、如何过滤burp中的杂包?burp怎么挂二级代理?有哪些Burp插件可以让测试事半功倍?
FindSomethon—前端信息收集必备插件
2302_79932868的博客
01-31 1779
信息提取:可从网页的HTML源代码或JavaScript中快速提取有价值的信息,如资源、接口URL、IP地址、域名,以及身份证号、手机号、邮箱等敏感信息,便于安全研究者和IT专业人员检测信息泄露风险。- 研究与学习:能快速收集学术论文的关键数据,如作者、发表年份和主要观点,提高文献综述效率。1.打开 Chrome 浏览器,进入 chrome://extensions/ 页面。- 可扩展性:开放源码,开发者可根据需要扩展功能,打造个性化插件体验。- 轻量化:设计简洁,占用资源少,不影响浏览器正常使用
如何用Burp的正则表达式快速找到敏感信息?
鹅子鱼的博客:很菜但是很好学的小菜鸟
04-21 1731
本文介绍了常见的用于匹配不同类型敏感信息的正则表达式,并探讨了如何根据具体情况自定义正则表达式。通过使用Burp的正则表达式,我们能够快速识别和定位到关键信息,提高渗透测试的效率和成功率。
BurpSuite使用指南:从入门到精通
"BurpSuite是一款强大的Web应用安全测试工具,包含了多个模块,如Proxy、Target、Scanner、Spider等,用于全面分析和测试网站的安全性。文档详细介绍了如何启动BurpSuite,设置显示和浏览器配置,以及使用Burp进行...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值