探索内部世界的利器：TProxer — 自动化SSRF逆向代理路径检测工具

探索内部世界的利器：TProxer — 自动化SSRF逆向代理路径检测工具

TProxerA Burp Suite extension made to automate the process of finding reverse proxy path based SSRF.项目地址:https://gitcode.com/gh_mirrors/tp/TProxer

项目介绍

TProxer 是一款专为Burp Suite设计的扩展插件，致力于自动化执行查找基于路径的SSRF（Server-Side Request Forgery）漏洞。通过智能算法，这款工具能帮助安全研究人员快速定位潜在的内部API和文件，进而提高渗透测试效率。界面简洁，操作直观，支持手动激活，是安全测试者不可或缺的辅助工具。

项目技术分析

TProxer 使用了Python的Jython实现，确保与Burp Suite的无缝集成。它的工作原理相当巧妙：

1. 首先尝试以一种递归的方式来访问内部API或文件，如https://www.example.com/api/v1/users/.../.../.../，期望得到一个400 Bad Request响应。
2. 然后，通过在潜在的内部API根目录下注入路径，比如https://www.example.com/api/v1/users/..;/..;/..;/，寻找是否存在404 Not Found的情况。
3. 如果发现任何内部内容，工具将进行额外测试，确认其完全内部性并值得进一步研究。
4. 用户可以自定义payload，并在单独的选项卡中选择自己的wordlist进行测试。

应用场景

TProxer 主要应用于网络安全评估和渗透测试，尤其适用于：

• 对Web应用程序进行全面的安全审查。
• 快速找出服务器上可能暴露的内部资源。
• 在常规扫描工具无法覆盖的场景下，执行深度探测。

项目特点

1. 自动化处理 - 减轻手动测试的工作量，更高效地搜索潜在SSRF漏洞。
2. 灵活性高 - 支持用户自定义payload和导入自选wordlist。
3. 直观交互 - 可在Burp Suite内直接激活，结果直接反馈在Issue Activity标签页。
4. 持续改进 - 开源项目，定期更新和维护，持续添加更多定制功能。

获取与安装

要开始使用TProxer，请按照以下步骤操作：

1. 克隆项目仓库：$ git clone https://github.com/ethicalhackingplayground/TProxer
2. 下载Jython 2.7.2: https://www.jython.org/download.html
3. 加载Burp Suite，进入“Extender” -> “Options”，然后在Python环境中选择jython.jar。
4. 转到“Extensions”，点击“Add”，加载TProx.py。

立即加入我们的社区，获取最新资讯和交流经验！

• 加入Discord

TProxer遵循MIT许可证，欢迎贡献您的智慧，共同提升网络安全性！

TProxerA Burp Suite extension made to automate the process of finding reverse proxy path based SSRF.项目地址:https://gitcode.com/gh_mirrors/tp/TProxer