文章来源:先知社区地址:https://xz.aliyun.com/t/11132作者:宋民国本国渗透测试用到Burp时候很多,整理了一些tips供测试时候更得心应手~tips1:光标错位和中文显示新...
利用Xray+BurpSuite自动挖掘带sign签名的漏洞
随着WAF产品 一、起因: Xray是一个非常好的自动化漏洞挖掘工具。我们通常在进行漏洞挖掘的时候,都会通过BurpSuite+Xray进行自动化的漏洞挖掘,官方也给了配置和使用方法,链接放到参考文献...
获取JA3指纹
前言JA3指纹是通过本地发起TLS握手阶段时,根据Client Hello中的TLS版本、支持的加密套件、使用的扩展等字段加密生成。因此基于JA3指纹(现在已经有JA4+指纹)可以识别如Cobalt ...
知名安全工具新增AI功能:渗透数据共享回传或致信息泄漏
2025年开年之际,当所有的人都在蹭DeepSeek人工智能热度的时候,BurpSuite官方在X上公开发表称BurpSuite将在未来接入AI功能。于是,笔者也从官网进行考证,在2025年2月13日...
BurpSuite插件编写3
"本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些信息。请注意,任何未经授权的使用或由此产生的直接或间接后果和损失,均由使...
工具 | BucketVulTools
注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。0x00 简介BucketVulTools是一款针对存储桶配置不当漏洞检测的Bur...
一款基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件
安全工具 0x01 前言 Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repe...
app攻防系列2-移动端抓包技术入门
0x01 前言 随着现在攻防环境的升级,app渗透也成为了越来越多网络安全从业者关注的重点,故此推出app渗透系列。 0x02 burpsuite配合安卓模拟器抓包 mac本我选择的是网易的mumu模...
BurpSuite IP伪造插件
一、前言 Burp Suite的FakeIP插件主要用于在安全测试中伪造IP地址,以绕过服务器的IP限制或WAF(Web应用防火墙)的封锁。 插件下载地址: https://github.com/Th...
基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件
免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
【burpsuite靶场-服务端】XXE注入漏洞
XML外部实体(XXE)注入 在本节中,我们将解释什么是 XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种 XXE 注入,并总结如何防止 XXE 注入攻击。 1. 什么是XML外部实体注...
Burpsuite之token绕过
一、什么是token在身份认证和授权系统中,Token 是一种由服务器生成的字符串,用于验证用户的身份和权限。当用户登录成功后,服务器会生成一个 Token 并返回给客户端。客户端在后续请求中携带该 ...
49