burpsuite中常用插件

本文介绍了如何在Burp Suite中使用jsLinkFinder查找JavaScript链接,logger++跟踪请求记录,以及BurpShiroPassiveScan检测Shiro漏洞和FastjsonScan查漏Fastjson。还提到了Autorize插件用于自动化越权测试。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

js Link Finder

专门找js里面的链接的插件
1.安装的时候记得导入jython独立包:
https://www.jython.org/download.html
在这里插入图片描述在这里插入图片描述2.安装扩展
在这里插入图片描述还有一个github上的,挺好用的,我已经改用:
https://github.com/nice0e3/Burp_JSFinder

3.使用插件

从js里面提取到了很多URL,都可以尝试访问一下,也许就有未授权访问
在这里插入图片描述

logger++

各种模块的访问记录都可以在这里查看
1.安装扩展
在这里插入图片描述2.使用扩展
这里还可以定义颜色,我设置了post为紫色,过滤规则用的某大佬的:

Response.InferredType != "PNG" AND Response.inferredType !="JPEG" AND Response.inferredType != "GIF" AND Response.inferredType != "CSS" AND Response.inferredType != "script" AND Response.Status != 502

在这里插入图片描述

BurpShiroPassiveScan

shiro漏洞检查,自动化的,用完burp,直接看下这边有没有发现新的key就行
https://github.com/pmiaowu/BurpShiroPassiveScan

FastjsonScan

检查fastjson漏洞的插件
https://github.com/Maskhe/FastjsonScan
在这里插入图片描述
在插件那边等待结果即可

Autorize

自动测试越权的插件,在store就有
在这里插入图片描述
用法:
在这里插入图片描述

点击开始:
在这里插入图片描述
左边这列代表刚才输入的低权限的cookie的访问请求,
右边蓝色这列代表无cookie的访问请求。
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值