burpsuit常用插件汇总

一、商店下载：

1.403 Bypass （也可以github下载）pro用户专享

2.Autorize —— 强大的越权自动化测试工具

3.AutoRepeater —— AutoRepeater可自动化和简化Web应用程序授权测试，并为安全研究人员提供易于使用的工具，可在Burp Suite中自动复制，修改和重新发送请求，同时快速评估响应的差异（比Autorize更具自定义化）

4.ActiveScan++   activescan++扩展Burp Suite的主动和被动扫描能力。它的设计目的是添加最小的网络开销，它确定了高级测试人员可能感兴趣的应用程序行为。

5.Logger ++    Logger ++是Burp Suite的多线程日志记录扩展。除了记录来自所有Burp Suite工具的请求和响应之外，该扩展还允许定义高级过滤器，以突出显示有趣的条目或将过滤器日志仅突出显示与过滤器匹配的条目

6.Uoload Scanner   一款可以主动扫描文件上传漏洞的插件

7.J2EEScan  该插件的目标是在对 J2EE 应用程序进行 Web 应用程序渗透测试期间提高测试覆盖率。（要求cookie jar中开启了scanner）

8.Bypasswaf 用来绕过一些waf 使用方法：  https://www.codewatch.org/blog/?p=408

9.HTTP Request Smuggle   用来发起HTTP 请求走私攻击

10.json-web-tokens    用来查看jwt数据的，  动态操作 JWT，自动执行针对 JWT 的常见攻击，并在代理历史记录中为您解码。

11.Java-Deserialization-Scanner     用来检查java反序列化的插件

12.CSP Bypass     一个使用Python编写的一个Burp插件，他可以使用已知道的方法去尝试网站CSP的安全性，是否能够绕过。

13.Wsdler      Wsdler 可以解析 WSDL 请求，以便使用 repeater 和 scanner 对 WSDL 请求进行测试。可以直接在Bapp Store 安装。

14.Hackbar      功能和火狐上的插件hackbar差不多，但是相对有些区别，好用还是挺好用的。

15. Turbo Intruder     用于发送大量HTTP请求并分析结果。

二、下载安装

1.HaE 

是基于BurpSuite插件JavaAPI开发的请求高亮标记与信息提取的辅助型插件。

https://github.com/gh0stkey/HaE

2.BurpShiroPassiveScan

基于BurpSuite的被动式shiro检测插件

https://github.com/pmiaowu/BurpShiroPassiveScan

3.BurpFastJsonScan

一款基于BurpSuite的被动式FastJson检测插件

GitHub - pmiaowu/BurpFastJsonScan: 一款基于BurpSuite的被动式FastJson检测插件

https://github.com/zilong3033/fastjsonScan

4.passive-scan-client

Burp被动扫描流量转发插件

https://github.com/c0ny1/passive-scan-client

5.captcha-killer

burp验证码识别接口调用插件

https://github.com/c0ny1/captcha-killer

6.reCAPTCHA

自动识别图形验证码并用于burp intruder爆破模块的插件

https://github.com/bit4woo/reCAPTCHA

7.sqlmap4burp++

是一款兼容Windows，mac，linux多个系统平台的Burp与sqlmap联动插件

https://github.com/c0ny1/sqlmap4burp-plus-plus

8.chunked-coding-converter

burp分块传输的插件，可以用来绕过waf

https://github.com/c0ny1/chunked-coding-converter

9.Fakeip

服务端配置错误情况下用于伪造ip地址进行测试的Burp Suite插件

https://github.com/TheKingOfDuck/burpFakeIP

10.Knife

bit4表哥开发的一款 burpsuite 增强功能插件，主要是增加右键菜单功能(包含 hackbar++ 插件功能)，同时增加 Tab 区域，比如 U2C(将 Unicode 形式的字符转换为中文，比如 u4e2du6587-->中文)，非常实用的功能，可以在测试的时候提高效率。

https://github.com/bit4woo/knife/blob/master/README-zh.md

11.BurpSuiteHTTPSmuggler

通过请求走私帮助渗透测试人员绕过 WAF 或使用多种技术测试其有效性

https://github.com/nccgroup/BurpSuiteHTTPSmuggler

12.bypass403

一个自动绕过 403 Burpsuite 插件

https://github.com/p0desta/AutoBypass403-BurpSuite

13.domain_hunter

扫描子域名的一个插件

https://github.com/bit4woo/domain_hunter

https://github.com/bit4woo/domain_hunter_pro

14.BurpCrypto

支持多种加密算法或直接执行JS代码的用于爆破前端加密的BurpSuite插件

https://github.com/whwlsfb/BurpCrypto

15.Struts2Burp

一款检测Struts2 RCE漏洞的burp被动扫描插件，仅检测url后缀为.do以及.action的数据包

https://github.com/x1a0t/Struts2Burp

https://github.com/prakharathreya/Struts2-RCE

16.LFI scanner

一款检查文件包含漏洞的插件

17.Log4j2Scan

Log4j2 远程代码执行漏洞，BurpSuite被动扫描插件。

https://github.com/f0ng/log4j2burpscanner

18.BurpBounty

Burp Bounty（BApp Store 中的扫描检查生成器）是 Burp Suite 的扩展，它允许您通过非常直观的图形界面通过个性化规则以快速简单的方式改进主动和被动扫描仪。

免费版：https://github.com/wagiro/BurpBounty

19.APIKit

可以主动/被动扫描发现应用泄露的API文档，并将API文档解析成burpsuit中的数据包用于API安全测试

https://github.com/API-Security/APIKit

————————————————

作者：Thunder_sec

原文链接：https://blog.csdn.net/Thunderclap_/article/details/125575856

扫码加好友拉你进交流群

关注公众号，后台回复关键词获取安全相关资源：

【 1868 】 ：弱口令字典

【 6956 】 ：Windows提权工具包

【 1762 】 ：渗透辅助综合工具

【 2595 】 ：应急响应工具集

【 1346 】 ：CTF入门到提升视频教程

原文始发于微信公众号（菜鸟学安全）：burpsuit常用插件汇总