burpsuite中常用插件

最新推荐文章于 2025-06-11 11:43:03 发布
原创 最新推荐文章于 2025-06-11 11:43:03 发布 · 3.1k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#css #html #html5

本文介绍了如何在Burp Suite中使用jsLinkFinder查找JavaScript链接,logger++跟踪请求记录,以及BurpShiroPassiveScan检测Shiro漏洞和FastjsonScan查漏Fastjson。还提到了Autorize插件用于自动化越权测试。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

burpsuite中常用插件

js Link Finder

专门找js里面的链接的插件
1.安装的时候记得导入jython独立包:
https://www.jython.org/download.html
在这里插入图片描述在这里插入图片描述2.安装扩展
在这里插入图片描述还有一个github上的,挺好用的,我已经改用:
https://github.com/nice0e3/Burp_JSFinder

3.使用插件

从js里面提取到了很多URL,都可以尝试访问一下,也许就有未授权访问
在这里插入图片描述

logger++

各种模块的访问记录都可以在这里查看
1.安装扩展
在这里插入图片描述2.使用扩展
这里还可以定义颜色,我设置了post为紫色,过滤规则用的某大佬的:

Response.InferredType != "PNG" AND Response.inferredType !="JPEG" AND Response.inferredType != "GIF" AND Response.inferredType != "CSS" AND Response.inferredType != "script" AND Response.Status != 502

在这里插入图片描述

BurpShiroPassiveScan

shiro漏洞检查,自动化的,用完burp,直接看下这边有没有发现新的key就行
https://github.com/pmiaowu/BurpShiroPassiveScan

FastjsonScan

检查fastjson漏洞的插件
https://github.com/Maskhe/FastjsonScan
在这里插入图片描述
在插件那边等待结果即可

Autorize

自动测试越权的插件,在store就有
在这里插入图片描述
用法:
在这里插入图片描述

点击开始:
在这里插入图片描述
左边这列代表刚才输入的低权限的cookie的访问请求,
右边蓝色这列代表无cookie的访问请求。
在这里插入图片描述

【Burp入门第二十二篇】BurpSuite配置Hea插件教程+添加配置项
等风来
03-22 7990
HaE是一个基于BurpSuite Java插件API开发的辅助型框架式插件,旨在实现对HTTP消息的高亮标记和信息提取。该插件通过自定义正则表达式匹配响应报文或请求报文,并对匹配成功的报文进行标记和提取。
Burpsuite搜集js信息(BurpJSLinkFinder
malathonsec
03-23 5107
插件地址: GitHub - InitRoot/BurpJSLinkFinder: Burp Extension for a passive scanning JS files for endpoint links. jython下载地址: Downloads | Jython 我的使用版本: https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.2/jython-standalone-2.7.2.jar 开始安装
burpsuite JS加密插件jsEncrypter.0.3.2
01-25
burpJS加密插件,适用于前端JS加密站点的安全测试
Burpsuite-JSScan:burpsuite插件:主动和被动进行JS扫描并分析其中的可利用点
05-23
Burpsuite JsScan 插件 burpsuite插件:主动和被动进行JS扫描 目前实现了主动扫描和被动扫描 主动扫描模块使用了珍藏字典 被动扫描模块将会分析每一个经过burpsuite的请求,如果是js文件就会记录 排除常见的JS库,只分析自定义JS,有效发现目标 将扫描到的自定义JS文件自动添加到自带字典中,逐步完善字典 拓展 具体可利用点的分析,例如ajax语法等(在github上发现了外国大佬用python写这个burp插件) 关于解析JS,参考https://github.com/Threezh1/JSFinder的实现,基于一个大正则,外国大佬的工具也是基于这个大正则 其实关于可利用点和隐藏接口等,手动分析最佳,插件帮你快速找出JS文件的URL即可 简单使用方式 主动扫描功能输入JS路径就可以开始(https://www.xxx.com/static/js/),相当于一
工具 | 红队大佬亲测5款推荐的Burpsuite插件,(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
06-11 386
APIKit可以主动/被动扫描发现应用泄露的API文档,并将API文档解析成BurpSuite中的数据包用于API安全测试。一款检测Struts2 RCE漏洞的burp被动扫描插件,仅检测url后缀为.do以及.action的数据包。将ShiroScan.jar导入burp,该插件是被动扫描,扫描成功的结果会输出到图形界面中。支持精准提示漏洞参数、漏洞位置,支持多dnslog平台扩展,自动忽略静态文件。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。支持加解密、杀软查询、文本去重等功能。
Burpsuite配置BurpJSLinkFinder进行网页JS链接提取
Websec
03-05 3198
下载开源项目,并且将其py文件(FransLinkfinder.py)放到python环境的lib\site-packages目录下。然后配置python环境的文件位置(需要精确到Lib\site-packages)BurpJSLinkFinder用于被动扫描 JS 文件获取js文件当中的链接。首先是配置jython standalone JAR的文件位置。3.2 然后去配置burpsuite的extender。点击add,选择python,将其文件导入进去即可。路径的话禁止中文命名,否则会报错。
【亲测免费】 BurpJSLinkFinder安装与使用手册
gitblog_00577的博客
09-11 792
BurpJSLinkFinder安装与使用手册 项目概述 BurpJSLinkFinder 是一款专为Burp Suite设计的插件,旨在被动地从JavaScript文件中扫描并提取端点链接。此工具对于进行Web渗透测试尤其有用,能自动化发现埋藏在JavaScript代码中的API接口和URL,提高安全审计的效率。 1. 项目目录结构及介绍 由于提供的链接指向了一个假设的仓库 https://gi...
基于实战渗透中用到的burpsuite插件
weixin_51641247的博客
01-24 3419
BurpSuite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们能更好的完成渗透测试和攻击。在渗透测试中,只有熟悉BurpSuite的使用,使得渗透测试工作变得轻松和高效。
BurpSuite常用插件
12-11
BurpSuite常用插件,包含jython-standalone-2.7.1、AES_Killer、BpScan、burp-clj-0.5、BurpFastJsonScan-2.1.0-jdk1.8、BurpShiroPassiveScan_1.7.6、BurpShiroPassiveScan_moblie、chunked-coding-converter.0.2.1...
Burpsuite插件之logger++使用方法1
08-03
**Burpsuite插件之logger++使用方法** Logger++是一款为Burpsuite设计的增强型日志记录插件,由裁决目录开发。它与Burpsuite内置的HTTP历史记录功能相似,但提供了更全面的记录和分析能力,增加了额外的字段以帮助...
BurpSuite 实战增强插件包的收集与使用指南
06-06
内容概要: 本资源收集并整理了多个适用于渗透测试场景的 BurpSuite 插件,涵盖指纹识别、敏感路径探测、漏洞利用、前端加密分析等实战常用功能,包括 JsRouteScan、BurpCrypto、ShiroPassiveScan 等,并配套说明...
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
使用这个BurpSuite插件,可以有效地帮助安全从业者在目标系统中识别出Log4j、Log4j2和Fastjson的使用,并评估是否存在安全风险。无论是老版还是新版的BurpSuite,该插件都能兼容,这意味着它具有良好的兼容性和实用...
burpsuite_jsapi:由Python编写的BurpSuite扩展,用于在JS文件中查找API接口
04-15
burpsuite_jsapi Python编写的BurpSuite扩展,用于在JS文件中查找API接口。 0x00前提 JPython环境应安装在BurpSuite中,请咨询 。 0x01步骤 git clone https://github.com/0x-zmz/burpsuite_jsapi 在Extender > Extensions中添加burpsuite_jsapi.py插件。 0x02结果 在渗透测试中,可以直接单击“ JsApi”选项卡以获得结果,如下图所示:
burp-clj:clojure实现burp插件,提供clj脚本加载环境
05-11
burp-clj 为burp提供clojure插件支持,提供加载clojure脚本文件的功能 Usage burp加载插件后,在Clojure Plugin页面下添加Script Source,比如: 然后点Reload Scripts!加载这个目录下的所有clj文件,支持git url和本地文件夹。 License Copyright :copyright: 2020 ntestoc3 This program and the accompanying materials are made available under the terms of the Eclipse Public License 2.0 which is available at . This Source Code may also be made available under the following Secondary Lic
22款burpsuite常用插件(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
06-25 9918
前言Burp Suite是一款强大的用于Web应用程序安全测试的工具。Burp Suite的一个关键特性是通过扩展功能的使用来扩展其功能。这些扩展允许用户自定义Burp Suite以满足他们特定需求,简化他们的工作流程。此外,扩展可用于将Burp Suite与其他工具和平台集成,扩大安全测试的范围和效率。使用Burp Suite扩展还可以帮助消除手动任务,节省安全专业人员的时间和资源。
BurpJSLinkFinder 使用教程
gitblog_01107的博客
09-03 747
BurpJSLinkFinder 使用教程 1. 项目的目录结构及介绍 BurpJSLinkFinder 是一个用于 Burp Suite 的插件,用于被动扫描 JavaScript 文件中的链接。以下是项目的目录结构: BurpJSLinkFinder/ ├── README.md ├── burpjslinkfinder.py ├── requirements.txt └── utils/ ...
网络安全|Burp插件梳理总结 (附工具合集源文档使用)
yyyyyybw的博客
09-06 2360
​ 很多师傅在搞渗透测试时,离不开burpsuite,有一些好的插件如虎添翼,我把常用的burp插件整理分享出来,若各位师傅有好用的插件欢迎留言交流!
JS文件中的秘密
SuperherRo的博客
05-16 4858
JS文件是JavaScript文件的缩写,是一种用于网页开发的脚本语言文件。JS文件通常包含一些函数和变量,可以通过调用这些函数和变量来实现网页中的动态效果和交互。常见的JS文件包括jQuery、React、Vue等库和框架,它们提供了丰富的功能和组件,可以大大提高网页开发的效率和质量。在Javascript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。
js-link-finder:快速扫描JavaScript文件中的链接
gitblog_00024的博客
03-30 349
js-link-finder:快速扫描JavaScript文件中的链接 项目介绍 在当今的网络安全领域,被动扫描是一种重要的检测手段,它能帮助我们发现潜在的安全威胁,而不会对目标系统造成影响。js-link-finder 是一个基于 Burp Suite 的扩展插件,专门用于被动扫描 JavaScript 文件中的链接。它能够帮助安全研究员和开发者快速识别出网页中的所有链接,从而进行更深入的分析和...
burpsuite常用插件
08-27
Burp Suite是一款功能强大的Web应用程序渗透测试工具,它有许多常用插件可以帮助安全测试人员进行各种渗透测试任务。以下是一些常用的Burp Suite插件: 1. Turbo Intruder:用于高速自定义的HTTP请求发送和漏洞利用。 2. Logger++:用于对请求和响应进行记录和分析,包括颜色编码、日志筛选和导出功能。 3. SQLMap:用于检测和利用SQL注入漏洞的自动化工具。 4. ActiveScan++:增强了Burp Suite的被动扫描功能,用于自动扫描和发现常见的Web漏洞。 5. Scanner插件合集:包括许多常见漏洞的检测插件,如XSS、CSRF、文件包含等。 6. PortSwigger CA:用于解决HTTPS代理配置问题,让Burp Suite能够正确地与目标应用程序进行HTTPS通信。 7. Backslash Powered Scanner:用于自动化搜索目标网站上的路径遍历(目录穿越)漏洞。 8. Autorize:用于自动化探测和测试Web应用程序的访问控制问题。 这只是一小部分Burp Suite插件的例子,实际上还有很多其他有用的插件可供选择。你可以根据自己的需求在Burp Suite插件商店中查找并安装适合的插件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值