js Link Finder
专门找js里面的链接的插件
1.安装的时候记得导入jython独立包:
https://www.jython.org/download.html
2.安装扩展
还有一个github上的,挺好用的,我已经改用:
https://github.com/nice0e3/Burp_JSFinder
3.使用插件
从js里面提取到了很多URL,都可以尝试访问一下,也许就有未授权访问
logger++
各种模块的访问记录都可以在这里查看
1.安装扩展
2.使用扩展
这里还可以定义颜色,我设置了post为紫色,过滤规则用的某大佬的:
Response.InferredType != "PNG" AND Response.inferredType !="JPEG" AND Response.inferredType != "GIF" AND Response.inferredType != "CSS" AND Response.inferredType != "script" AND Response.Status != 502
BurpShiroPassiveScan
shiro漏洞检查,自动化的,用完burp,直接看下这边有没有发现新的key就行
https://github.com/pmiaowu/BurpShiroPassiveScan
FastjsonScan
检查fastjson漏洞的插件
https://github.com/Maskhe/FastjsonScan
在插件那边等待结果即可
Autorize
自动测试越权的插件,在store就有
用法:
点击开始:
左边这列代表刚才输入的低权限的cookie的访问请求,
右边蓝色这列代表无cookie的访问请求。