Active Scan++
Active Scan++是一款强大的Burp Suite扩展,可以增强Burp Suite的主动扫描功能。该扩展使用先进的技术和算法来识别Web应用程序中的漏洞,包括跨站点脚本、SQL注入和不安全的直接对象引用。此外,Active Scan++还可以检测认证、授权和会话管理中的问题,为Web应用程序安全测试提供全面的覆盖。Active Scan++的一个突出的功能是其能够准确和高效地识别应用程序中的潜在注入点,使其成为任何Web应用程序安全专业人员的不可或缺的工具。通过利用Active Scan++,您可以确保在渗透测试过程中充分准备好应对任何挑战。
增强的主动扫描功能,可以识别Web应用程序中的漏洞
先进的载荷生成和注入技术,用于测试漏洞
扫描设置的定制和阈值,以提高扫描效率
与Burp的漏洞报告和管理功能的集成
优先处理某些区域或请求,以实现聚焦扫描
支持同时测试多个目标应用程序
Backslash Powered Scanner
Backslash Powered Scanner是一款强大的Burp Suite扩展,可以帮助安全专业人员识别Web应用程序中的漏洞。该工具使用先进的技术来查找漏洞,包括SQL注入、跨站点脚本(XSS)和其他常见的漏洞利用方法。此外,Backslash Powered Scanner还具有集成其他Burp Suite工具的能力,如入侵者和扫描仪模块,以提供Web应用程序安全状况的全面视图。Backslash Powered Scanner是任何安全专业人员要保证他们Web应用程序安全性和完整性的必不可部分。它是一款易于使用、可靠的、高效的工具,将帮助您快速有效地识别和修复漏洞。
允许对Web应用程序进行自动扫描,以识别漏洞
可定制扫描设置和配置
支持同时扫描多个Web应用程序
提供详细的扫描结果报告,包括已识别漏洞的信息以及建议的修复步骤
Autorize
Autorize是一款Burp Suite扩展,可以帮助您轻松管理和自动化Web应用程序的授权过程。使用Autorize,您可以创建自定义的授权规则,并将它们应用到特定的URL或URL组。这可以帮助简化您的测试过程,因为您不必须手动输入授权凭据以便为每个请求。此外,Autorize还与其他Burp Suite工具集成,例如扫描仪和重复器,允许您执行经授权的扫描和测试L。总的来说,Autorize是一款非常有价值的工具,对于任何安全专业人员来说,都在寻找简化和优化他们的Web应用程序测试工作流程的人。
允许在Burp Suite内自动授权请求
可以设置特定URL或参数的规则,以自动授权
可以定义自定义授权头或令牌以添加到请求中
可以处理多种授权类型,包括基本身份验证和OAuth
在Burp Suite界面中提供视觉指示,显示已授权的请求
可以保存和加载授权配置,以便在不同项目中重复使用。
Sentinel
Sentinel Burp Suite扩展是一个强大的工具,用于检测和预防Web应用程序中的安全漏洞。它使用先进的技术来识别潜在的注入点、弱身份验证和授权措施,以及会话管理问题。该扩展提供明确的和可操作的建议,用于修复漏洞,让开发人员轻松改进应用程序的安全性。通过与Burp Suite框架的无缝集成,Sentinel是任何安全专业人员必备的工具,用于保护其Web应用程序免受威胁。
允许自动扫描Web应用程序,以检测XSS和SQL注入漏洞
根据严重程度和类型识别和分类漏洞
Reflector
Reflector是Burp Suite的一个有用的扩展,用于在浏览网页时实时查找反射型跨站脚本漏洞。它提供了几个有用的功能,包括在响应标签中突出显示反射内容、测试反射中允许的符号、分析反射上下文以及内容类型白名单。这些功能帮助您更有效地识别和缓解网站上的潜在安全风险。
具有查找跨站脚本漏洞的能力
支持多个反射配置,允许针对不同类型的请求和响应使用不同的反射设置
HTTP Request Smuggler
HTTP请求劫持Burp Suite扩展是测试Web应用程序安全性的强大工具。它允许用户执行HTTP请求劫持攻击,可以用于绕过安全控制并暴露应用程序中的漏洞。借助此扩展,用户可以轻松地构造并发送恶意请求到目标应用程序,并分析响应以识别任何潜在的安全问题。该扩展易于使用,并与其他Burp Suite工具无缝集成,使其成为任何安全测试工具包的宝贵补充。总的来说,HTTP请求劫持扩展对于任何希望提高其Web应用程序安全性的人来说都是必不可少的。
测试和识别HTTP请求劫持漏洞
操纵HTTP头和请求以绕过安全措施
自定义请求劫持负载和注入点
J2EEScan
J2EEScan是一个功能强大的Burp Suite扩展,专门设计用于扫描Java EE Web应用程序。它可以检测与身份验证、授权和会话管理相关的各种漏洞,并提供修复建议。该扩展还具有识别应用程序内潜在注入点的能力,使其成为安全专业人员的宝贵工具。J2EEScan的一个关键优势是其与其他Burp Suite工具的集成,如入侵者和扫描器模块,这使得测试更加全面。总的来说,J2EEScan是任何与Java EE应用程序一起工作的安全专业人员的必备工具。
扫描Java EE Web应用程序中的漏洞
识别应用程序内潜在的注入点
提供已识别漏洞的修复建议
允许自定义扫描设置和策略
InQL Scanner
InQL扫描器是一个强大的Burp Suite扩展,帮助安全专业人员识别和利用GraphQL API中的漏洞。它提供了广泛的功能,允许用户轻松高效地发现和测试GraphQL端点,并识别和利用可能存在的任何漏洞。凭借直观的界面和广泛的功能,InQL扫描器是任何希望保护其GraphQL API的人必不可少的工具。无论您是初学者还是经验丰富的安全专业人员,InQL扫描器都是您工具包中的宝贵补充。
检测并报告由于不正确使用InQL(注入查询语言)而引起的漏洞
允许手动输入InQL查询以测试漏洞
提供目标应用程序的InQL查询结构的图形表示
生成所有已识别漏洞和潜在利用路径的报告
CORS*, Additional CORS Checks
CORS*, Additional CORS Checks是一个Burp Suite扩展,帮助识别潜在的跨域资源共享漏洞。CORS是一种安全特性,用于控制Web应用程序如何访问其他域中的资源。该扩展通过提供额外的CORS配置检查,增强了Burp Suite的功能,如果未正确配置,这可能导致安全漏洞。通过使用这个扩展,渗透测试人员可以更有效地识别和缓解潜在的CORS问题,确保正在测试的Web应用程序得到适当的保护,免受跨域攻击的影响。
允许测试跨域资源共享(CORS)策略,并提供额外的CORS漏洞检查
可以确定服务器是否正确配置以允许或限制来自其他来源的资源访问
可以帮助检测与CORS策略相关的潜在安全风险
403 Bypasser
403 Bypasser是一个Burp Suite扩展,帮助安全专业人员在测试Web应用程序时绕过HTTP 403(禁止)错误消息。该扩展允许用户轻松修改请求头并绕过服务器设置的限制。它特别适用于识别可能被意外留开以供访问的隐藏目录和文件。403 Bypasser是任何安全测试人员的必备工具,因为它可以帮助他们发现可能被传统测试方法忽视的潜在漏洞。它与Burp Suite的无缝集成使其成为任何安全工具包的有价值的补充。
在Web应用程序安全测试期间自动检测和绕过403禁止错误
允许测试人员在无需手动绕过403错误的情况下继续测试
与Burp Suite集成,无缝地将绕过403错误的功能纳入测试工作流程
可定制的设置,以调整扩展程序如何处理403错误
提供所有绕过的403错误的报告,方便在测试过程中进行跟踪
Flow
Burp Suite的Flow扩展是一个强大的工具,用于分析Web应用程序中的HTTP请求和响应。它允许用户查看和操纵客户端和服务器之间的通信流,深入了解应用程序的功能,并可能暴露漏洞。使用Flow,用户可以分析请求和响应的内容和结构,在实时中修改它们,并跟踪这些修改对应用程序行为的影响。这个扩展对于渗透测试人员和安全专业人员尤其有用,他们希望揭示Web应用程序中的弱点并改善其整体安全性姿态。
允许用户在Burp Suite中查看、过滤和分析HTTP流量。
提供HTTP请求和响应流的可视化表示。
允许用户查看单个请求和响应的详细信息,包括头部、主体和参数。
允许用户根据关键词或参数搜索特定的请求和响应。
允许用户识别和分析HTTP流量中的潜在安全漏洞。
WSDL Wizard
WSDL Wizard Burp Suite 扩展是测试 Web 服务应用程序的宝贵工具。它允许用户导入和分析 WSDL(Web 服务描述语言)文件,提供对应用程序安全漏洞的彻底分析。该扩展与其他 Burp Suite 工具(例如 Scanner 和 Intruder 模块)无缝集成,以提供 Web 服务的全面安全评估。其用户友好的界面使得即使是新手用户也可以轻松分析 WSDL 文件并识别潜在的安全风险。总体而言,WSDL 向导扩展是任何安全专业人员测试 Web 服务应用程序的必备工具。
自动生成多种格式的Web服务请求(SOAP、XML-RPC等)
能够使用 Burp 的拦截代理和扫描器测试 Web 服务
支持 WSDL 1.1 和 WSDL 2.0 规范
请求生成的可定制选项,包括指定特定方法和输入参数的能力
Turbo Intruder
Turbo Intruder 是一个功能强大的 Burp Suite 扩展,可实现高效且有效的 Web 应用程序测试。其独特的设计允许对 Web 目标进行高速、多线程攻击,使其成为任何渗透测试人员的宝贵工具。借助 Turbo Intruder,用户可以轻松执行暴力攻击、分析响应并自定义有效负载。对于任何希望彻底测试其 Web 应用程序安全性的安全专业人员来说,此扩展是必备的。其先进的功能和用户友好的界面使其成为 Web 应用程序渗透测试的首选。
对 Web 应用程序进行快速高效的暴力攻击
可定制的有效负载和攻击设置
支持多线程和服务器进行并行测试
Retire.js
Retire.js 是一个功能强大的 Burp Suite 扩展,可帮助识别和减少 Web 应用程序中易受攻击的 JavaScript 库的使用。它扫描 JavaScript 库的过时且可能不安全的版本,并提供更新到更安全版本的建议。该工具对于确保 Web 应用程序的安全至关重要,因为 JavaScript 库因其广泛使用和可能被利用的漏洞而经常成为攻击者的目标。通过使用 Retire.js,开发人员可以在任何潜在的安全风险被利用之前主动识别并解决它们。通过与 Burp Suite 生态系统的无缝集成,Retire.js 可以轻松维护 Web 应用程序的安全并防止潜在的漏洞。
自动识别和测试 JavaScript 库和框架中的漏洞的过程
提供有关经过测试的库和框架的安全性的综合报告
允许用户自定义他们的测试设置并专注于特定的库或框架
利用不断更新的已知漏洞数据库来确保最准确和最新的测试
JSON Web Tokens
JSON Web 令牌 (JWT) Burp Suite 扩展是一个强大的工具,用于测试和保护使用 JSON Web 令牌进行身份验证和授权的应用程序。通过此扩展,您可以解码和验证 JWT,以及出于测试目的操作它们。JWT 扩展还允许您测试漏洞,例如弱签名算法和刷新令牌的不安全处理。总体而言,JWT 扩展是任何使用 JSON Web 令牌的应用程序的安全专业人员的必备工具。它与 Burp Suite 其余部分的集成使其成为测试和保护应用程序的工具包的宝贵补充。
能够在 Burp Suite 中解码和分析 JSON Web 令牌 (JWT)
可以选择手动输入 JWT 或通过 Burp Suite 的代理自动拦截它们
能够查看和修改 JWT 中的声明
签名和加密 JWT 的选项
支持 JWT 的多种算法和格式
能够生成用于测试目的的自定义 JWT。
Content Type Converter
Content-Type Converter Burp Suite 扩展对于 Web 应用程序测试人员来说是一个有价值的工具。它允许用户修改 Burp Suite 代理中请求和响应的内容类型。这对于测试可能以不同方式处理不同内容类型的应用程序非常有用。例如,内容类型为“application/json”的请求的处理方式可能与内容类型为“application/xml”的请求不同。通过修改内容类型,测试人员可以确保应用程序正确处理所有潜在的内容类型。Content Type Converter 扩展易于使用,并与其他 Burp Suite 工具无缝集成,使其成为任何 Web 应用程序测试人员工具包的必备工具。
能够转换 HTTP 请求的内容类型
支持多种内容类型,包括 HTML、XML 和 JSON
能够在发送之前预览转换后的请求
BurpJSFinder
JS Finder 是 Burp Suite 的扩展,可帮助安全专业人员发现和分析 Web 应用程序中的 JavaScript 代码。该工具对于识别应用程序中的潜在漏洞和不安全的编码实践特别有用。它允许用户搜索 JavaScript 代码中的特定关键字或模式,以及突出显示和解码混淆的代码。借助 JS Finder,用户可以轻松识别并解决 Web 应用程序中任何潜在的安全问题,确保它们尽可能安全。对于任何希望彻底评估其 Web 应用程序安全性的安全专业人士来说,此扩展都是必不可少的工具。
识别并突出显示 Web 应用程序响应中的 JavaScript 文件
提供应用程序内 JavaScript 使用情况的详细信息,包括唯一文件的数量和使用位置
与 Burp Suite 的主动和被动扫描器功能集成,以便在评估期间持续测试 JavaScript 文件。
SAML Raider
SAML Raider 是 Burp Suite 的扩展,可帮助安全专业人员评估基于 SAML 的单点登录 (SSO) 系统的安全性。此扩展允许用户拦截和操作 SAML 消息,以及在基于 SAML 的系统上执行安全测试。SAML Raider 是识别 SAML 实施中的漏洞和错误配置的宝贵工具,可以帮助组织提高 SSO 系统的安全性。该扩展易于使用,并与其他 Burp Suite 工具无缝集成,使其成为任何安全专业人员工具包的强大补充。
允许拦截和操纵 SAML 消息
支持 SAML 请求和响应
提供 SAML 消息的可视化表示以便于分析
允许将恶意负载注入 SAML 消息中
可以使用自定义证书签署 SAML 消息
提供用于修改 SAML 消息的目标和颁发者的选项
IP Rotate
对于那些进行网络安全评估或参与可能需要匿名的基于网络的活动的人来说,IP Rotate Burp Suite 扩展是一个有价值的工具。此扩展允许用户根据每个请求轮换其 IP 地址,从而使目标网站或系统更难以跟踪或阻止其活动。这对于测试基于 IP 的防火墙规则的有效性或避免入侵检测系统的检测特别有用。此外,IP 轮换扩展可以配置为使用指定的 IP 地址范围,从而允许用户选择在其请求中使用的 IP 地址的位置和类型。总体而言,对于那些希望为其基于 Web 的活动添加额外的安全性和匿名性的人来说,IP Rotate 扩展是 Burp Suite 工具包的有用补充。
允许在 burp 扫描期间轮换使用的 IP 地址
可以设置为按设定的时间间隔自动轮换或由用户手动触发
可以使用预定义的 IP 地址列表或随机生成新的 IP 地址
允许绕过基于 IP 的速率限制或访问限制
提供 HTTP 和 SOCKS 代理配置选项
允许在扫描期间在多个 IP 地址之间轻松切换,以提高匿名性。
AWS Security Checks
扫描 AWS 资源是否存在错误配置和安全漏洞
允许发现和测试 AWS IAM 角色和策略
针对 AWS S3 存储桶权限和 ACL 中的潜在安全问题提供警报
提供自动修复已识别安全问题的选项
与 AWS API 集成,可在 Burp Suite 平台内进行无缝测试和分析
Headless Burp
能够在无头模式下运行 Burp Suite,无需 GUI 界面。
可以在服务器或其他没有 GUI 的环境中运行。
允许使用命令行进行自动扫描和测试。
可用于并行执行大量目标扫描,提高效率。
Nuclei Burp Integration
Nuclei Burp Integration 扩展是一个强大的工具,用于在 Burp Suite 环境中执行有针对性的全面漏洞测试。它允许集成用于扫描的自定义模板,提供有关已识别漏洞的详细且可操作的信息。此扩展还允许与 Burp Suite 工具集的其余部分无缝集成,从而可以轻松地在测试过程中确定优先级并跟踪已识别的漏洞。总体而言,Nuclei Burp Integration 扩展对于任何希望有效识别和解决潜在安全风险的渗透测试人员来说都是宝贵的资产。
与 Nuclei 扫描器集成,执行有针对性的全面漏洞测试
允许使用自定义模板进行扫描
原文始发于微信公众号(黑熊安全):22款burpsuite常用插件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论