武装你的BurpSuite(一)

admin 2023年3月31日13:11:29评论109 views字数 1677阅读5分35秒阅读模式

Burp Suite是渗透测试人员的必备工具之一,丰富的HTTP请求分析和拦截功能;强大的攻击模拟工具,可发现应用程序漏洞;可扩展的自定义脚本和插件支持;快速高效的渗透测试流程和工具,提高测试效率。梳理了10个辅助渗透插件如下:

1.Extender:Extender插件是Burp Suite的基础插件,它允许用户编写自己的自定义插件来增强Burp Suite的功能。用户可以使用Java编写插件,实现一些高级功能,比如在扫描中自定义Payload,通过REST API批量自动化任务等。

https://github.com/PortSwigger/extender-example

2.Turbo Intruder:Turbo Intruder插件是一款非常快速的暴力破解工具,它可以通过多线程同时攻击多个目标,从而显著提高破解速度。它支持多种攻击方式,比如字典攻击、Fuzzing、Brute Force等。

https://github.com/PortSwigger/turbo-intruder

3.ActiveScan++:ActiveScan++是一款非常强大的主动式漏洞扫描器,它可以在Web应用程序中发现多种类型的漏洞,比如SQL注入、XSS攻击等。它支持自定义Payload、自动检测参数类型等。

https://github.com/deltik/activescan-plusplus

4.Logger++:Logger++插件是一款强大的日志记录工具,它可以帮助用户记录所有通过Burp Suite的请求和响应,包括HTTP、WebSocket、DNS、TLS等。用户可以将这些日志导出为文件,并进行后续的分析和处理。

https://github.com/nccgroup/logger-plusplus

5.Flow:Flow插件是一款非常实用的流量管理工具,它可以帮助用户快速识别和分析复杂的请求和响应流。用户可以使用它来捕获、分析和编辑流量数据,还可以实现一些自定义的流程控制和过滤。

https://github.com/deltik/flow-extension

6.HackBar:HackBar插件是一款方便的工具栏,可以快速进行Web应用程序的漏洞测试。它支持多种类型的攻击方式,比如SQL注入、XSS攻击等,还可以轻松地进行加密和解密操作。

https://github.com/d3vilbug/HackBar

5.SAML Raider:SAML Raider插件是一款专门针对SAML单点登录协议的工具,可以帮助用户快速识别和分析SAML消息中的漏洞。它支持多种攻击方式,比如重放攻击、XSW攻击等。

https://github.com/SAMLRaider/SAMLRaider

8.AuthMatrix:AuthMatrix插件是一款快速的身份验证管理工具,可以帮助用户自动化身份验证测试。它支持多种身份验证方式,比如基本身份验证、表单身份验证、Cookie身份验证等。

https://github.com/SecurityInnovation/AuthMatrix

9.Param Miner:Param Miner插件是一款方便的参数发现工具,可以帮助用户自动化发现Web应用程序中的参数,从而提高漏洞探测的效率。它支持自定义Payload,可以自动发现隐藏参数、未加密的参数等。

https://github.com/PortSwigger/param-miner

10.Wsdler:Wsdler插件是一款方便的Web服务描述语言(WSDL)解析工具,可以帮助用户自动化探测和分析Web服务的接口。它支持多种自定义Payload,可以自动识别和解析WSDL文件,还可以生成SOAP请求并发送给Web服务。

https://github.com/sebnicolas/wsdler

请注意,这些插件可能需要手动编译或安装,具体操作方式可以参考各个插件的GitHub页面上的文档和说明。

原文始发于微信公众号(乌雲安全):武装你的BurpSuite(一)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月31日13:11:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   武装你的BurpSuite(一)http://cn-sec.com/archives/1641958.html

发表评论

匿名网友 填写信息