声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。
现在只对常读和星标的公众号才展示大图推送,建议大家能把“设为星标”,否则可能就看不到了啦!公众号会经常分享一些0day,1day,工具供大家学习
0x01 简介
有些插件需要自己做配置,不然不会好用,配置文件我会一同打包,下载链接在下文获取
Oscan
被动扫目录扫备份文件可自己添加目录,采用的是递归形式,不会错过每一个接口,建议放一些敏感未授权的目录就行,插件内置的别去删,可以扫备份文件,曾经某师傅用该插件扫到某山云src的备份文件泄露,成功拿下高危
可自己进行配置也可在host处添加白名单和黑名单(白名单优先扫,黑名单不扫)
xiaxiao
一款可以生成信息用来注册测试,也可生成弱口令字典,用该插件生成的弱口令助我得到不少弱口令漏洞,也可生成路径字典等
HaE可单独使用也可配合前面的的工具Onescan使用,可被动标记敏感信息,不错过任何一个泄露漏洞,规则需要自己配,这里我会上传一份我已经配置好的,自己导入就行
BurpJSLinkFinder
被动爬js插件,本身你感觉不出作用,但是他却是及其好用的药引,所有的被动扫描都能喝汤
BurpCrypto
burp必备插件,像现在很多登录页面都做了加密,有这个工具哪怕加密也可以爆破弱口令了
还有很多好用的插件我也一并打包好了,各位师傅下载酌情导入使用即可
0x02 项目下载链接
百度网盘
链接:https://pan.baidu.com/s/1q7K60XOjo4UzKgA4-JCUng?pwd=hjaq 提取码:hjaq
原文始发于微信公众号(淮橘安全):受某师傅委托,分享一些好用的Burp插件,方便各位师傅更好挖洞,渗透
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论