【神兵利器】武装BurpSuite让打点更轻而易举（一）

免责声明

文章所涉及内容，仅供安全研究与教学之用，由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

工具介绍

项目地址：
https://github.com/Tsojan/TsojanScan

作者师傅们：
TsojanSecTeam-灼剑安全团队

支持多类常见中间件、框架以及注入相关高危漏洞的扫描，误报率低，项目维护更新快，对框架组件类有奇效，提高红队打点效率。

支持Reg正则进行自定义黑名单，避免在测试的过程中误触敏感资产。

支持CEYE DNSlog平台接收，保证测试环境的安全。

使用体验

多次攻防演练中，通过该插件探测功能找到突破口拿下重大成果不下一二，具有实战价值。很明显的一点是使用该扩展插件可以让手工测试、点击更高效，启用Burp的让数据流量通过监听器，插件默认会收集流量目标并自动进行漏洞POC、敏感接口目录的扫描，字典强大，进行更细致的探测，挖掘出更深层次的成果。