史上最全Burpsuite插件大集合，总有一款适合你的

Misdirection_XG

于 2025-07-28 14:36:52 发布

阅读量716

点赞数 17

CC 4.0 BY-SA版权

分类专栏：网络安全文章标签： web安全安全

本文链接：https://blog.youkuaiyun.com/Misdirection_XG/article/details/149716013

网络安全专栏收录该内容

13 篇文章

订阅专栏

今天给大家带来的是：Burpsuite插件大集合

所有插件均可Github和Burpsuite官网下载

为了便于大家查找，请根据关键字， command + F 即可搜索即可

在这里插入图片描述

扫描类插件

在Burpsuite基础上，拓展各种扫描功能的插件

Active Scan++– Burp Suite 的主动和被动扫描功能扩展
Burp Vulners Scanner– 基于 vulners.com 搜索 API 接口扫描漏洞
Additional Scanner checks– 检查Burp缺少的扫描插件集合
CSRF Scanner– CSRF 扫描扩展
HTML5 Auditor– HTML5 审核器，检查是否具有潜在安全风险的 HTML5 功能
Software Version Reporter – 软件版本报告器，被动扫描显示软件版本号
J2EEScan – J在J2EE应用程序的Web应用程序渗透测试期间提高测试覆盖率
Java Deserialization Scanner – 用于检测和利用Java反序列化漏洞的全能插件
CSP Bypass – 用于检测CSP内容安全策略中的弱点
Burp Sentinel – GUI 插件，简化了Web应用程序中的安全漏洞发现
Backslash Powered Scanner – 发现未知类别的注入漏洞
Collaborator Everywhere – Burp Suite Pro扩展，通过注入设计用于引起对Burp Collaborator的pingbacks的非侵入性标头，增强代理流量
Burp Molly Pack – Burp Suite的安全检查包
Noopener Burp Extension – 在网页中查找未设置noopener和noreferrer属性的target=_blank值
ActiveScan3Plus – ActiveScan++ 修改增强版本
Burp Image Size – Burp Suite的图像大小问题插件
UUID issues for Burp Suite – Burp Suite的UUID问题插件
JSON array issues for Burp Suite – Burp Suite的JSON数组问题插件
Burp Retire JS – Burp/ZAP/Maven扩展，集成Retire.js仓库以查找易受攻击的Javascript库
SOMEtime – 用于检测同源方法执行漏洞插件
HTTPoxy Scanner – 用于检查HTTPoxy漏洞插件
ParrotNG – 识别CVE-2011-2461漏洞影响的Adobe Flex应用程序（SWF）插件
Error Message Checks – Burp被动扫描应用程序透露服务器错误消息插件
Identity Crisis – 检查特定URL对各种User-Agent标头的响应是否不同的插件
CSP Auditor – Burp和ZAP插件，用于分析内容安全策略标头或从网站爬取生成模板CSP配置的插件
Burp Suite GWT Scan – 识别GWT（Google Web Toolkit）请求的插件
Minesweeper – 检测从14000多个恶意加密货币挖掘域（cryptojacking）加载脚本的插件
Yara – 此扩展允许您根据自定义Yara规则，在Burp界面内对网站执行按需进行Yara扫描
WordPress Scanner – 使用WPScan数据库查找WordPress插件和主题中已知的漏洞
Web Cache Deception Burp Extension – 测试应用程序是否易受Web缓存欺骗漏洞的影响
UUID Detector – 在HTTP请求中被动检测到的UUID/GUID。
Software Vulnerability Scanner – 使用Vulners.com API扫描检测到的软件版本中的漏洞，和*Burp Vulners Scanner *类似
Reverse Proxy Detector – 检测反向代理服务器插件
SRI Check – 用于识别缺少SRI完整性属性的插件
Reflected File Download Checker – 反射文件下载检测插件
Length Extension Attacks – 弱签名机制执行哈希长度扩展攻击的插件
Headers Analyzer – 报告HTTP标头中安全问题插件
HeartBleed – Burp的Suite主用户界面中添加了新的标签页，允许对服务器进行HeartBleed漏洞测试。如果服务器易受攻击，将转储并查看从服务器内存中检索到的数据。
Image Size Issues – 动检测由于请求参数中指定的图像大小而导致的潜在拒绝服务攻击插件
CMS Scanner – 测试流行的内容管理系统CMS漏洞插件
Detect Dynamic JS – 检测动态生成的内容和仅在用户认证时可访问的内容是否存在安全问题的插件
CTFHelper – 在Web服务器中扫描一些敏感文件（例如备份文件.index.php.swp或.git目录），加快CTF解题的插件
Broken Link Hijacking – 第二次接管链接检测插件
Discover Reverse Tabnabbing – 识别易受反向Tabnabbing攻击的插件
Scan manual insertion point – 允许用户选择请求的区域（通常是参数值），通过上下文菜单对自定义的插入点执行主动扫描
AdminPanelFinder –枚举基础设施和应用程序管理界面（OWASP OTG-CONFIG-005）。
HTTP Request Smuggler – HTTPequest Smuggler漏洞插件
iRule Detector – 检测F5 Networks BigIP负载均衡器中某些实现的远程代码或命令执行（RCE）漏洞
Burp AEM Security Scanner Extension – 专注于AEM配置错误问题检测的插件
FlareQuench – 发现受Cloudflare保护的Web应用程序的原始IP
Cypher Injection Scanner – 检测Cypher代码注入的插件
InQL Scanner – 用于GraphQL安全测试的插件
Attack Surface Detector – 攻击面检测插件
ESLinter – 使用ESLint对响应中的JavaScript进行提取和 lint进行安全检查
403Bypasser – 用于绕过403限制目录的插件

自定义功能

与自定义Burp功能和以多种方式扩展Burp Suite功能相关的插件

Burp Bounty – Scan Check Builder – 通过直观的图形界面，改进主动和被动扫描的插件
Distribute Damage – Burp在多个扫描目标时，均匀分配负载的插件
Add & Track Custom Issues – 在Burp中添加和跟踪自定义扫描问题的插件
Decoder Pro – 解码和清理垃圾响应文本的插件
Decoder Improved – 数据编码转换插件
Request Highlighter – 自动高亮标头内容（例如Host、User-Agent、Cookies、Auth令牌、自定义标头等）
Request Minimizer – 自动删除了不相关的参数，例如：随机广告cookie、缓存破坏nonces等
Wildcard – 创建自己的标签页的插件
Hackvertor – 各种转义和编码，包括HTML5实体、十六进制、八进制、Unicode、URL编码等
Multi-Browser Highlighting –显示代理历史记录，以区分由不同浏览器发起的请求，为每个浏览器分配一种颜色。
Manual Scan Issues – 允许用户在Burp扫描器结果中手动创建自定义问题
Handy Collaborator –方便使用Collaborator工具的插件
BadIntent – 使用Burp Suite拦截、修改、重复和攻击Android的Binder事务的插件
IP Rotate – 使用AWS API Gateway在每个请求中轮换代理IP
Timeinator – 用来在不可靠的网络（如互联网）上执行基于时间的攻击
Auto-Drop Requests – 自动丢弃匹配特定正则表达式的请求
Scope Monitor – 监控和跟踪测试端点的插件
Taborator –标签页中改进的Collaborator客户端的插件
pip3line – 原始字节转换的插件
Auto Drop – 自动丢弃匹配特定正则表达式的请求，对具有日志记录或跟踪服务，非常有用
Bookmarks – 对请求进行书签标记，减少打开类似于100个未命名的重复器标签页
Stepper – 多阶段重复器替代品
Response Pattern Matcher – 使用有效payload列表对HTTP响应进行模式匹配，发现有趣和潜在易受攻击
Add & Track Custom Issues –在Burp中添加和跟踪自定义扫描问题跟踪的的插件
cstc – 允许使用类似于CyberChef的GUI修改请求/响应的插件
Piper for Burp Suite – Piper Burp Suite扩展插件
Response Grepper – 根据正则表达式自动提取和显示HTTP响应主体中的值
Copy Request & Response –添加了新的上下文菜单条目，可以使用它简单地复制所选消息的请求和响应到剪贴板
HaE – Highlighter and Extractor – 突出显示HTTP请求并从HTTP响应消息中提取信息
Burp-IndicatorsOfVulnerability – B检查应用程序请求和响应中的漏洞

美化器和解码器

与美化和解码数据格式相关的扩展。

.NET Beautifier – 美化.NET消息参数并隐藏.NET Web应用程序的一些杂项（即 __VIEWSTATE）
JS Beautifier – Burp Suite JS美化器。
Burp ASN1 Toolbox – Burp Suite的ASN.1工具箱
JSON JTree viewer for Burp Suite – Burp Suite的JSON JTree查看器
JSON Beautifier – 用Java编写的JSON美化器
Browser Repeater –Repeater工具，可在真实浏览器中呈现响应
GQL Parser – GraphQL扩展的Burp Suite解析器
XChromeLogger Decoder – 在HTTP消息编辑器中添加了新的标签页，以解码形式显示X-ChromeLogger-Data
WebSphere Portlet State Decoder – 在新标签页中显示WebSphere Portlet的解码XML状态
PDF Viewer – 在HTTP消息查看器中添加了标签页，呈现PDF文件
NTLM Challenge Decoder – 解码NTLM SSP标头。
JCryption Handler – 手动和/或自动对使用JCryption JavaScript库通过HTTP方法（GET和POST）发送的数据进行安全评估
JSWS Parser – 解析包含JavaScript Web Service Proxy（JSWS）的响应，并为所有支持的方法生成JSON请求报文
JSON Decoder – HTTP消息编辑器中添加了新的标签页，并以解码形式显示JSON消息
MessagePack – 将MessagePack请求和响应解码为JSON格式，将请求从JSON格式转换为MessagePack
Fast Infoset Tester – 将传入的Fast Infoset请求和响应转换为XML，并将在外出消息转换回Fast Infoset
burp-protobuf-decoder – 简单的Google Protobuf解码器
BurpAMFDSer – 使用Xtream库将AMF请求和响应反序列化/序列化为XML
Deflate Burp Plugin – 用于解压缩ZLIB（RFC1950）和DEFLATE（RFC1951）压缩格式的HTTP响应内容
Burp Suite GWT wrapper – GWT封装的拓展插件
GraphQL Beautifier – Graphql请求报文美化器
Decoder Improved – 改进的解码器
GraphQL Raider – 测试实现GraphQL插件
JSONPath – 查看和从JSON响应中提取数据的插件
Burp Beautifier – 美化请求/响应体，支持JS、JSON、HTML、XML格式
JSON/JS Beautifier – 美化JSON和JavaScript输出
burp-suite-jsonpath – B查看和从JSON响应中提取数据的插件

云安全

与评估云安全服务（如Amazon AWS）相关的插件

AWS Security Checks – AWS安全问题扫描的插件
AWS Extender – 评估AWS、Google Cloud和Azure上的云存储容器的权限的插件
AWS Signer – WS签名扩展的插件
cloud_enum – 多云OSINT工具。在AWS、Azure和Google Cloud中枚举公共资源的插件
AWS SigV4 – 使用SigV4签署AWS请求的插件
Burp-AnonymousCloud – 识别云存储桶，测试是否存在公开可访问的漏洞的插件

脚本

与脚本相关的扩展插件

Python Scripter –允许在Burp处理的每个HTTP请求和响应上执行自定义Python脚本
Burpkit – 评估复杂Web应用程序动态呈现页面内容的插件
Burp Requests – Burp Suite的“复制为请求”插件
Burpy – 解析Burp Suite日志，并执行各种测试，生成HTML报告
Buby – BurpExtender接口的JRuby实现
Burpee – Python对象接口
Reissue Request Scripter – 生成脚本，重新运行选定的请求
Burp Buddy – Burp Suites的扩展API
Copy As Python-Requests – 将选定的请求，作为Python-Requests调用
Copy as PowerShell Requests – 将选定的请求，作为PowerShell调用
Copy as Node Request – 将选定的请求，作为Node.JS请求调用
Copy as JavaScript Request – 将选定的请求复制到剪贴板，作为JavaScript 来调用
BReWSki – 允许用户用JavaScript编写自定义扫描器检查

OAuth和SSO

用于评估单点登录（SSO）和OAuth相关应用程序的扩展插件

SAML Raider – SAML Raider是Burp Suite扩展，用于测试SAML基础设施。它包含两个核心功能：操作SAML消息和管理X.509证书。
Burp OAuth – OAuth插件
EsPReSSO –突出显示Burp代理窗口中的SSO消息的插件
SAML Encoder/Decoder – 在Burp的主界面中添加了新的标签页，允许对SAML（安全断言标记语言）格式的消息进行编码和解码
SAML Editor – 在HTTP消息编辑器中添加了新的标签页，允许对SAML（安全断言标记语言）格式的消息进行编码和解码
PeopleSoft Token Extractor – 测试PeopleSoft SSO令牌的插件
JSON Web Token Attacker –测试JSON Web Tokens签名和加密的应用程序的插件
JSON Web Tokens – 测试JSON Web Tokens签名和加密的应用程序的插件
AuthHeader Updater – 身份验证标头检测插件
Dupe Key Injector – Dupe Key 注入检测器
SAMLReQuest – 解码和修改SAML请求和响应，类似于美化器

信息收集

与信息收集、爬取相关的扩展插件

Google Hack – 设置和运行Google Hack查询的GUI界面，并允许您将结果直接添加到Burp的网站地图中
PwnBack/Wayback Machine – Burp Extender插件，使用Wayback Machine生成网站的站点地图
Directory File Listing Parser Importer – 解析Web应用程序的目录和文件列表文本文件
Site Map Extractor – 从站点地图中提取信息
Site Map Fetcher – 获取站点地图中未请求项目的响应
Burp CSJ – 将Crawljax、Selenium和JUnit集成在一起提高Web应用程序的爬取能力
domain_hunter – 尝试查找组织的子域名、相似域名和相关域名等
BigIP Discover – 检测BipIP服务器设cookie是否包含私有IP
Asset Discover – 从HTTP响应中发现资产
DirectoryImporter – 将目录暴力破解结果导入burp插件
Filter OPTIONS Method –滤掉OPTIONS请求，防止其填充Burp的代理历史记录
Subdomain Extractor – 使用上下文菜单选项从Burp导出子域名
SAN Scanner – 通过SSL证书，枚举相关域名和服务

特定漏洞扩展

跨站脚本

XSS Validator –自动化和验证XSS漏洞
burp-xss-sql-plugin – XSS、开放重定向和SQLi插件
Burp Hunter – XSS Hunter插件。
DOM XSS Checks – 扫描基于DOM的跨站脚本插件
Reflector – 反射XSS的Burp插件
BitBlinder –发现盲XSS漏洞插件
JavaScript Security – 执行跨域脚本检查插件，针对DOM，子资源完整性检查
jsonp –SONP跨站脚本包含漏洞或绕过内容安全策略插件
feminda – 自动化的盲XSS搜索插件

访问控制

Burplay/Multi Session Replay –越权插件
AuthMatrix – 越权插件
Autorize – 自动授权检测越权插件
AutoRepeater – 自动重放HTTP请求越权插件
Authz – 越权插件
Paramalyzer – Paramalyzer – 大规模参数分析越权插件
Burp SessionAuth –越权插件
IncrementMe Please – 主动扫描请求中递增参数
Auth Analyzer – 重复请求带有自定义标头和令牌的代理请求，检测授权缺陷

跨站请求伪造

CSRF Scanner – CSRF扫描器扩展
CSurfer – CSRF扫描器
Additional CSRF Checks/EasyCSRF – 绕过的WebApp中的弱CSRF保护插件
Match/Replace Session Action – 会话处理，提供规则匹配和替换功能。
Token Extractor – 从响应中提取令牌并在请求中替换
CSRF Token Tracker – 为CSRF令牌参数提供同步功能
Token Rewrite – 响应中搜索特定值，如CSRF令牌，并使用它们的值修改后续请求中的参数或设置cookie
burp-multistep-csrf-poc – 生成多步骤CSRF POC
Anti-CSRF Token From Referer – 处理referer中的反CSRF令牌会话规则
burp-samesite-reporter – SameSite标志报告插件

反序列化

Java-Deserialization-Scanner – 检测和利用Java反序列化漏洞
Java Serial Killer – 执行Java反序列化攻击的插件
BurpJDSer-ng – 将Java对象反序列化为XML，根据需要动态加载类/jar。
PHP Object Injection Check – 增加主动扫描检查，以找到PHP对象注入漏洞
Java Serialized Payloads – 生成各种在执行OS命令的Java序列化有效载荷
Freddy, Deserialization Bug Finder – 检测和利用序列化库/ API
CustomDeserializer – 通过执行自定义反序列化，加快测试速度
BurpJDSer – 使用Xtream库将Java请求和响应序列化/反序列化为XML
PHP Object Injection Slinger – 在PHP框架上找到PHP对象注入漏洞
GadgetProbe – 增强Intruder探测功能，利用Java序列化对象的端点，识别远程Java类路径上的类、库和库版本

敏感数据暴露

Burp SmartBuster – Burp Suite内容发现插件
PDF Metadata – 扫描程序检查PDF文件中的元数据插件
SpyDir – 自动化强制浏览/端点枚举插件
Burp Hash – 安全令牌（如会话cookie）哈希参数插件
Param Miner 识别隐藏的、未链接的参数插件，适用于发现Web缓存中毒漏洞
MindMap Exporter – 协助记录以下OWASP测试指南V4测试插件
Image Location and Privacy Scanner – 扫描图像中的GPS位置或嵌入的与隐私相关信息（如相机序列号）插件
Image Metadata – 提取图像文件中存在的元数据插件
ExifTool Scanner – 使用ExifTool从各种文件类型（JPEG、PNG、PDF、DOC、XLS等）中读取元数据插件
Interesting Files Scanner – 对敏感文件和目录的扫描插件
BeanStack – Stack-trace Fingerprinter – 使用堆栈跟踪的Java指纹识别插件
Directory Importer – 用于将目录暴力破解结果导入Burp以供进一步分析插件
JS Link Finder – 扫描JavaScript文件以查找端点链接插件 – 排除特定的‘js’文件，例如jquery、google-analytics
Secret Finder –帮助渗透测试人员使用正则表达式发现apikeys、accesstokens和更多敏感数据插件
Xkeys – 从网页中提取有趣的字符串（密钥、秘密、令牌等）插件
SSL Scanner – Burp能够扫描SSL漏洞插件

SQL注入

CO2 – Burp Suite Web渗透测试工具的增强功能集合
SQLiPy – Python插件，用于Burp SuiteSQLMap API集成SQLMap
SQLiPy Sqlmap Integration – 将Burp Suite与SQLMap集成插件
InjectMate – 为XSS、SQLi和标头注入漏洞生成有效载荷
Burptime – 在burp代理历史记录中显示时间成本，对于基于时间的SQL注入非常有用
SQLi Query Tampering –在Burp Suite的Intruder中添加自定义有效载荷生成器/处理器插件

XXE

Office OpenXML Editor – 增加标签页以编辑Office Open XML文档（xlsx、docx、pptx）插件
Content Type Converter – 将XML转换为JSON，JSON转换为XML，x-www-form-urlencoded转换为XML，x-www-form-urlencoded转换为JSON

不安全的文件上传

Upload Scanner –HTTP文件上传的安全性测试插件
ZIP File Raider – ZIP文件有效载荷测试插件
File Upload Traverser – 验证文件上传是否易受目录遍历漏洞的攻击插件

目录遍历

Uploader – 测试不安全文件上传中的目录遍历攻击插件
off-by-slash – 检测通过NGINX配置错误进行的别名遍历插件

会话管理

WAFDetect – 从HTTP响应中被动检测Web应用程序防火墙（WAF）插件
TokenJar – 管理令牌的插件，如反CSRF、CSurf、会话ID。
Token Incrementor – 在每个请求中递增参数，与主动扫描一起使用
Token Extractor – 允许从响应中提取令牌并在请求中替换
Session Auth – 可以用来识别认证权限提升漏洞插件
Session Timeout Test – 尝试确定服务器上的会话超时需要多长时间插件
Session Tracking Checks – 检查已知会话跟踪插件
ExtendedMacro – 类似扩展版本的Burp Suite宏功能。
AuthHeader Updater – 在扫描期间为身份验证标头指定令牌值插件
Request Randomizer – 注册会话处理规则，在请求中的指定位置放置随机值
BearerAuthToken – 测试涉及在每个HTTP请求中输入安全授权令牌的插件
Burp Wicket Handler –记录宏，获取要提交的页面插件
Add Request to Macro – 现有宏添加请求插件
Cookie Decrypter – 解密/解码各种类型的cookie插件
ExtendedMacro – 提供扩展宏功能的插件。
Authentication Token Obtain and Replace (ATOR) – 在某些会话管理场景下使用Burp进行自动化扫描插件

命令注入

Command Injection Attacker – 作系统命令注入有效载荷生成器插件
Argument Injection Hammer – 识别参数注入漏洞，如curl awk等，以及类似的插件

模板注入

tplmap Burp Extenson – 用于Tplmap，服务器端模板注入和代码注入检测和利用插件

Web应用防火墙绕过类插件

在WAF规避期间可以提供帮助的扩展插件

Bypass WAF – 向所有Burp请求添加标头以绕过一些WAF产品
Random IP Address Header – 自动生成IPV6和IPV4伪造源地址标头以规避WAF过滤
Burp Suite HTTP Smuggler – 帮助渗透测试人员绕过WAF或使用多种技术测试其有效性
What-The-WAF – 向Intruder工具添加自定义有效载荷，以帮助测试人员WAF绕过
WAF Cookie Fetcher – 允许W安全测试人员注册各种与cookie相关的会话处理操作
WAFDetect – 从HTTP响应中被动检测WAF
LightBulb WAF Auditing Framework – 审计Web应用程序防火墙和过滤器
BurpSuiteHTTPSmuggler – 帮助渗透测试人员绕过WAF
Chunked coding converter – 使用Transfer-Encoding技术来绕过waf插件

日志记录和注释

与在评估期间,记录HTTP流量以及存储Burp流量相关的扩展插件

Burp Notes – 添加注释标签页。更好地组织在渗透测试期间创建的外部文件
Logger++ – 记录Burp Suite中所有工具的活动日志
Burp Dump –将HTTP(S)请求/响应转储到文件系统
Burp SQLite logger – SQLite记录器
Burp Git Version – git版本记录插件
Burp Commentator – 根据正则表达式为选定的请求生成注释
Burp Suite Importer – 连接多个Web服务器，生成站点地图插件
Burp Replicator – 帮助开发人员从渗透测试中复制发现的问题
Log Requests to SQLite – 保持HTTP请求的跟踪，在SQLite数据库中
Flow – 为所有Burp工具提供了类似于代理历史记录的视图以及搜索过滤功能
Custom Logger – 在Burp的主用户界面中添加了新的标签页，包含所有Burp工具所做的所有请求的简单日志
Burp Response Clusterer -将响应聚类以显示接收到的响应消息概述
Burp Collect500 –收集所有HTTP 500消息
Sink Logger – 透明地监视各种JavaScript接收日志
Burp Scope Monitor Extension –监控和跟踪测试的端点
Burp Savetofile – 将请求或响应的正文保存到文件
Log Viewer – 图形环境中查看由Burp生成的日志文件
Rapid – 一次性将HTTP请求和响应保存到文件中插件
Bookmarks –对请求进行书签标记，而不是打开的很多个未命名的重复标签
Progress Tracker –跟踪漏洞评估进度插件

有效载荷生成器和模糊器

字典表/有效载荷生成器和FUZZ插件

Bradamsa – 使用Radamsa生成Intruder有效载荷
Payload Parser – 解析包含/排除您提供的字符的有效载荷
Burp Luhn Payload Processor –处理攻击者有效载荷，并自动生成信用卡号码及使用Luhn算法或公式（也称为“模10”或“mod 10”算法）生成的类似数字的插件
Gather Contacts – 从Google和Bing LinkedIn搜索结果中提取员工姓名
Blazer – Burp Suite AMF扩展插件
Wordlist Extractor – 抓取所有独特的单词和数字，用于密码破解插件
PsychoPATH – 提供可定制的有效载荷生成器，适用于检测文件上传和下载功能中的各种文件路径漏洞插件
Meth0dMan – 根据站点地图生成自定义的Burp Intruder有效载荷，允许快速识别HTTP方法的问题
Intruder File Payload Generator – 使用文件内容和文件名作为Intruder有效载荷的插件
Intruder Time Payloads – 在Intruder有效载荷中包含当前的epoch时间插件
reCAPTCHA – 自动识别图形验证码，用于Intruder中的有效载荷插件
Virtual Host Payload Generator – HTTP请求Host标头的值生成插件，滥用虚拟主机解析检测
Stepper – Repeater工具的自然演变，提供创建一系列步骤和定义正则表达式，从响应中提取值，这些值可以在后续步骤中使用
Turbo Intruder – T用于发送大量HTTP请求并分析结果
HackBar – ackBar插件
burpContextAwareFuzzer – 根据有效载荷类型（整数、字符串、路径；JSON；XML；GWT；二进制）和最初应用的编码方案应用FUZZ测试用例
Adhoc Payload Processors – 即时生成payload处理器
Username Generator – 从目标标签页中选定的URL中解析电子邮件地址，并在扩展标签页的输出窗口显示
LogicalFuzzingEngine – 验证FUZZ测试插件
Hashcat Maskprocessor Intruder Payloads – 受hashcat maskprocessor启发的攻击载荷插件
Fuzzy Encoding Generator – Intruder中快速测试给定值的各种编码插件

加密

与解密\加密流量和与加密相关的攻击插件

WhatsApp Protocol Decryption Burp Tool – WhatsApp协议分析插件
AES Burp/AES Payloads – AES加密的有效载荷插件
Crypto Attacker – 帮助检测和利用常见加密缺陷的插件
AES Killer – 解密移动应用程序的AES加密流量插件
Length Extension Attacks – 对弱签名机制执行哈希长度扩展攻击插件
TLS-Attacker-BurpExtension – 评估TLS服务器配置插件
Resign v2.0 –修改请求参数值后自动重新计算签名值

Web服务

用于评估Web服务的扩展。

WCF-Binary-SOAP-Plug-In – 编码和解码WCF二进制Soap请求和响应数据（“Content-Type: application/soap+msbin1”）
WSDL Wizard – W检测当前和发现新的WSDL（Web服务定义语言）插件
BurpWCFDSer –将WCF请求和响应反序列化/序列化为XML插件
JSWS – B解析JavaScript WebService代理并创建示例请求的插件
JSON Decoder –HTTP消息编辑器中添加了新的标签页，并以解码形式显示JSON消息
WSDLer – WSDL解析器扩展。
POST2JSON – 将POST请求转换为JSON消息
WCF Deserializer – 查看和修改二进制SOAP对象插件
Postman Integration – 通过生成Postman集合JSON文件，与Postman工具集成插件
OpenAPI Parser – 解析OpenAPI规范（以前称为Swagger规范），将其纳入BurpSuite，以自动化RESTful API测试插件
Content Type Converter 将XML转换为JSON，JSON转换为XML，x-www-form-urlencoded转换为XML，x-www-form-urlencoded转换为JSON插件
Burp Non HTTP Extension –非HTTP协议扩展（NoPE）代理和DNS插件
Swurg – OpenAPI测试设计的插件
WCFDSer-ngng – B二进制soap对象可读且可修改插件
UPnP Hunter – 发现活动的UPnP服务/设备，并提取相关的SOAP请求（支持IPv4和IPv6）插件
burp-suite-swaggy – 解析Swagger Web服务定义文件的插件
Burp WS-Security – 为每个请求，提供有效的WS安全令牌