FastjsonScan 安装和配置指南
【免费下载链接】FastjsonScan 一个简单的Fastjson反序列化检测burp插件 
项目地址: https://gitcode.com/gh_mirrors/fas/FastjsonScan
1. 项目基础介绍和主要的编程语言
项目基础介绍
FastjsonScan 是一个用于检测 Fastjson 反序列化漏洞的 Burp Suite 插件。Fastjson 是阿里巴巴开源的一款高性能的 JSON 处理器,但在某些版本中存在反序列化漏洞,可能导致安全风险。FastjsonScan 插件旨在帮助安全研究人员和渗透测试人员快速检测这些漏洞。
主要编程语言
该项目主要使用 Java 语言编写,适用于 Burp Suite 的插件开发环境。
2. 项目使用的关键技术和框架
关键技术
- Burp Suite 插件开发:利用 Burp Suite 的扩展接口,实现自定义的漏洞检测功能。
- Fastjson 反序列化漏洞检测:通过特定的 Payload 和 DNSLog 技术,检测目标是否存在 Fastjson 反序列化漏洞。
框架
- Burp Suite:作为插件的运行环境,提供 HTTP 请求和响应的拦截和处理功能。
- Java:作为主要的编程语言,实现插件的核心逻辑。
3. 项目安装和配置的准备工作和详细的安装步骤
准备工作
- 安装 Java 开发环境:确保你的系统中已经安装了 Java 开发环境(JDK),建议使用 JDK 1.8 或更高版本。
- 安装 Burp Suite:下载并安装 Burp Suite,确保你已经拥有 Burp Suite 的许可证。
- 下载 FastjsonScan 插件:从 GitHub 仓库 Maskhe/FastjsonScan 下载最新的
FastjsonScan.jar文件。
详细的安装步骤
步骤 1:下载 FastjsonScan 插件
- 打开浏览器,访问 Maskhe/FastjsonScan GitHub 仓库。
- 在仓库页面中,找到并下载
FastjsonScan.jar文件。
步骤 2:安装 FastjsonScan 插件到 Burp Suite
- 打开 Burp Suite。
- 导航到
Extender选项卡,然后点击Extensions子选项卡。 - 点击
Add按钮,弹出Add Extension对话框。 - 在
Extension Type下拉菜单中选择Java。 - 点击
Select file按钮,选择你刚刚下载的FastjsonScan.jar文件。 - 点击
Next按钮,Burp Suite 将加载并安装插件。
步骤 3:验证插件安装
- 安装完成后,你应该会在
Extensions列表中看到FastjsonScan插件。 - 如果安装成功,Burp Suite 的输出窗口中会显示相关信息。如果安装失败,请检查 JDK 版本是否正确。
步骤 4:使用 FastjsonScan 插件
- 在 Burp Suite 中,选择任意一个请求,右键点击并选择
Send to FastjsonScan。 - 插件将开始扫描该请求,检测是否存在 Fastjson 反序列化漏洞。
- 扫描完成后,结果将显示在 FastjsonScan 的扫描结果界面中。
注意事项
- 该插件仅支持
content-type为xml、json、url-encoded的 POST 请求,其他请求会返回not supported。 - 由于反序列化检测利用了 DNSLog,检测过程可能会稍微慢一些。
通过以上步骤,你已经成功安装并配置了 FastjsonScan 插件,可以开始使用它来检测 Fastjson 反序列化漏洞了。
【免费下载链接】FastjsonScan 一个简单的Fastjson反序列化检测burp插件 项目地址: https://gitcode.com/gh_mirrors/fas/FastjsonScan
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
