一些相见恨晚的BurpSuite插件推荐

最新推荐文章于 2025-02-17 17:02:51 发布
最新推荐文章于 2025-02-17 17:02:51 发布
阅读量3.2k 收藏 25
点赞数 2
分类专栏: hack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Dome_/article/details/104766466
版权
本文推荐了一些能极大提升Web渗透测试效率的BurpSuite插件,包括Autorize(自动化越权测试)、Turbo Intruder(批量请求发送)、Software Vulnerability Scanner(自动查找CVE)、Scan Check Builder(自定义扫描payload)、Logger++(增强请求历史查看)、Brida(Frida与Burp整合)、J2EEScan(J2EE漏洞扫描)、sqlmap4burp++(Burp与sqlmap联动)、Knife(多功能插件)、CSRF Token Tracker(绕过CSRF限制)和Decompressor(解码gzip压缩包)。这些插件可从Bapp Store或其他来源获取,帮助安全专家更高效地工作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章来源:我的安全专家之路

 

BurpSuite 是我心中最强大的Web渗透工具,没有之一!它也是日常中用得最多的工具,它有一些强大的插件可以帮忙我们减少大量的工作量以及更好地挖掘漏洞,今天分享下我常用的一些 burp 插件。

 

Autorize —— 强大的越权自动化测试工具

 

如果你在测试越权的时候,还是手动把URL复制到另一个浏览器的低权限账号中来打开,你就out了!

 

Autorize 是一个测试权限问题的插件,可以在插件中设置一个低权限账号的  cookie ,然后使用高权限的账号去浏览所有功能,Autorize 会自动用低权限账号的 cookie 重放请求,同时也会发一个不带 cookie 的请求来测试是否可以在未登录状态下访问。

 

该插件可以直接在Bapp Store 安装。

 

 

如果结果中的 Authorization Enforce 列是绿色,那么就可以确定该请求两个账号都可以访问了。

 

 

Turbo Intruder —— 短时间发送大量请求

 

如果你还在用 burp 的 intruder 功能来爆破密码,测试并发,爆破目录那你就 out 了!

 

Turbo Intruder 是 Intruder 的增强, 它可以在短时间内发送大量的 http 请求,具体速度取决于你的网速,即使在比较差的公共网络下,它也能每秒发送几百个请求。

 

使用 Turbo Intruder 我们可以在几分钟内爆破完百万级的密码字典和目录字典,也可以在一瞬间发送几十个并发请求来测试并发漏洞。

 

该插件可以直接在Bapp Store 安装。

 

最低0.47元/天 解锁文章
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用Jaro-Winkler距离算法进行页面相似度判断,提高准确度 加入过滤器功能,用英文分号分隔可输入多个域名(xxx.xxx)作为过滤,大大提高挖洞效率 简易教程 在Release中下载插件,安装后会多出一个页面:UAScan。 进入这个页面勾选开启被动扫描,然后不用做任何操作,正常使用Burpsuite即可。 自动检测所有的流量,然后将可能存在未授权访问漏洞的URL显示到UAScan的页面中。 一般建议在登录某系统后使用,是挖掘未授权访问漏洞的利器。 目前只排除了静态文件,后续可以自定义排除规则 开发者 小迪安全团队(许少,
BurpSuite插件推荐合集(非常详细),零基础入门到精通,看这一篇就够了
weixin_51725318的博客
11-14 1316
BurpSuite插件推荐合集(非常详细),零基础入门到精通,看这一篇就够了
30款burp插件,一键搞定99%的渗透工具!
最新发布
lza20001103的博客
02-17 1235
30款burp插件,一键搞定99%的渗透工具!
Burp Suite 实用插件推荐
热门推荐
煜铭2011
04-21 2万+
0x00 前言 使用过burpsuite的同学们都知道,这个burpsuite有社区版(免费版) 和专业版(收费版,349美元一年), 在我们平时渗透测试当中,这个可是一把神器, 它和sqlmap 一样极其厉害,但它的主要作用以拦截和修改流量包和检测常见Web漏洞为主,其中也有常规的加密/解密功能、入侵功能、重放功能等等 我们都知道无论是收费版还是免费版,burpsuite 这个软件还是提供了
BurpSuite插件推荐
技术超强的网络安全平台
11-25 3323
实验2.2 磁盘管理及挂载与卸载 一、实验目的 (1)掌握磁盘的添加、分区和格式化操作; (2)掌握磁盘分区的挂载与卸载; 二、实验需求 (1)在虚拟机处于关机状态下,创建快照,添加1块新磁盘; (2)虚拟机开机,并以root用户访问centos7系统,对磁盘进行分区和格式化操作; (3)在root用户的根目录下创建目录,并实现对磁盘分区的挂载与卸载; 三、实验步骤 1、创建快照,虚拟机关机,添加1块容量为10G的硬盘(SCSI格式)。在添加硬盘后,请给出截图。 2、虚拟机开机,并通过root用户访问系统
Burp Suite插件推荐
weixin_30672019的博客
08-07 372
BurpSuiteHTTPSmuggler 网址 https://github.com/nccgroup/BurpSuiteHTTPSmuggler 作用 利用 中间件对 HTTP 协议的实现的特性 bypass waf . 相关 ppt https://www.slideshare.net/SoroushDalili/waf-bypass-techniques-using-http-standa...
BurpSutie拓展插件推荐-辅助测试插件
Boom!脑洞大爆炸的博客
07-04 2175
BurpSutie拓展插件推荐-辅助测试插件
Burpsuite-JSScan:burpsuite插件:主动和被动进行JS扫描并分析其中的可利用点
05-23
Burpsuite JsScan 插件 burpsuite插件:主动和被动进行JS扫描 目前实现了主动扫描和被动扫描 主动扫描模块使用了珍藏字典 被动扫描模块将会分析每一个经过burpsuite的请求,如果是js文件就会记录 排除常见的JS库,只...
Burpsuite插件BurpKit使用方法1
08-04
BurpSuite插件BurpKit使用方法详解》 在网络安全评估领域,BurpSuite是一款备受推崇的工具,尤其在Web应用安全测试中扮演着重要角色。而BurpKit,作为BurpSuite的一个插件,进一步提升了其功能性和灵活性,使得...
BurpSuite使用的插件HaE-2.6.1.jar
05-01
BurpSuite上使用的插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
Burpsuite插件之logger++使用方法1
08-03
**Burpsuite插件之logger++使用方法** Logger++是一款为Burpsuite设计的增强型日志记录插件,由裁决目录开发。它与Burpsuite内置的HTTP历史记录功能相似,但提供了更全面的记录和分析能力,增加了额外的字段以帮助...
Burp Suite插件集合
08-24
包含Sqlmap、POST2JSON、DOMXSSChecks、Burp-SessionAuthTool、WCF-Binary-SOAP-Plug-In等18种插件,非常全的Burp工具集合。
Python-一个Burpsuite插件用于检测隐藏的XSS
08-10
一个Burpsuite插件,用于检测隐藏的XSS
burpsuit常用插件汇总
Thunderclap的博客
07-02 9978
burpsuit常用插件
BurpSuite插件分享
混子
08-26 3990
之前总认为挖洞细就中了,但在前段时间人麻了,去测站,把功能点测完以为结束了,因为这几年甲方安全意识强,还有一些安全设备,再加上人家防范的意识也强,就感觉不会出现spring boot未授权、shiro默认密钥等这种比较低级的事情,但事实总是打脸的措不及防,测完发现甲方爸爸找上门了,说人家测拿到权限了,你是不是不行,在这里小弟建议各位哥哥留意一下那些主动检测到插件,说不定弹了你不知道,所以这篇文章主角是插件。......
BurpSuite插件(BP插件、武装BP)
墨痕诉清风的博客
03-07 3117
目录 解决光标错位 HAE Domain Hunter Pro passive-scan-client-0.3.0 LinkFinder HTTPHeadModifer 解决光标错位 一般我拿到Burp必做的一件事就是把光标错位调整好: User options-Display-HTTP Message Display 黑体-24px HAE https://github.com/gh0stkey/HaE 此时才把插件导入进来,需要配置你的HAE正则。 公共规..
工具推荐——几个Burp插件
浪飒sec
09-18 2391
三个java的Burp插件Unexpected information :是用于标记请求包中的一些敏感信息、JS接口和一些特殊字段的BurpSuite 插件FastJsonScan一个简单的Fastjson反序列化检测burp插件HackBar:你懂的获取方式:关注浪飒sec公众号回复cjPython类插件https://github.com/theLSA/burp-unauth-checkerhttps://github.com/sting8k/BurpSuite_403Bypasserhttps://g
工具 | 红队大佬亲测5款推荐Burpsuite插件(非常详细),零基础入门到精通,看这一篇就够了
分享Python知识
10-07 1626
工具 | 红队大佬亲测5款推荐Burpsuite插件(非常详细),零基础入门到精通,看这一篇就够了
burpsuite常用插件总结,零基础入门到精通,收藏这一篇就够了
leah126的博客
09-26 2202
被动式shiro扫描插件,仅能扫shiroCipherKey。该插件会对BurpSuite传进来的每个不同的域名+端口的流量进行一次shiro检测功能shiro框架指纹检测 shiro加密key检测,cbc,gcm安装下载地址:https://github.com/Daybr4ak/ShiroScan使用1、开启被动扫描2、打开burpsuite以及浏览器代理,访问想要评估的网站,找到登录的接口,而后正常拦包登录即可,找到shiroCipherKey3、实现shiro反序列化漏洞。
全方位Burp Suite插件集合,18种工具强化安全测试
根据提供的信息,我们可以详细探讨Burp Suite插件集合中所包含的各种插件,以及它们在网络安全和渗透测试中的作用和应用。 首先,Burp Suite是一款广泛使用的网络安全工具,它是专业的用于Web应用安全测试的平台。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值