0x01 工具介绍
AutoFuzz是一款针对BurpSuite的安全测试辅助插件,旨在提高测试效率。它通过自动识别请求中的参数,并根据预设的payload逐个进行发包测试,帮助安全研究人员快速发现潜在漏洞。该插件借鉴了经典的xia_sql项目,加入了参数解析优化与越权、未授权访问场景的集成,支持自动化渗透测试,特别适用于复杂的JSON参数测试。通过插件,用户可以轻松设置域名/IP、payload、Header等测试条件,进一步提升测试的精确度和效率。
下载地址 :https://github.com/AutoFuzz/AutoFuzz
0x02 功能简介
主要功能
启用插件:顾名思义勾选后该插件启用。
Tips:
通过监听捕获的流量相同接口只会 fuzz 一次。Method + Host + Path 均相同的请求视为同一请求。 通过右键菜单发送到插件获取的请求,可无视域名/IP限制,无视去重限制。
域名设置
插件仅对用户设置的 域名/IP 相关请求发包测试,避免误伤无关站点。
qq.com 为例,如不勾选包含子域名,则 host 为 y.qq.com 的请求无法被捕获。Payload 设置
Tips: 当 列表中有数据 时,才会启用该模块功能。
空 的 payload,在 fuzz 时会将参数值置空。
Auth Header 设置
Tips: 当 列表中有Header数据 或 勾选未授权访问 时,才会启用该模块功能。
查找功能
可根据设置的查找作用域在 request 或 response 中查找是否含有输入的字符串信息,不区分大小写,不支持中文查找。
右键菜单
可通过右键菜单发送到插件,无视域名/IP范围,无视去重限制。
0x03更新说明
增加域名黑白名单选项增加 payload 缓存增加表格返回包长度字段优化线程池处理逻辑
0x04 使用介绍
插件安装: Extender - Extensions - Add - Select File - Next
0x05 下载
https://github.com/AutoFuzz/AutoFuzz
原文始发于微信公众号(渗透安全HackTwo):告别手动测试!AutoFuzz极速挖掘漏洞BurpSuite插件|漏洞探测
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论