BurpSuite中的安全测试插件推荐

首先放出一张小编一直在用的几个插件~

0x00 前言

0x01 AuthMatrix

AuthMatrix是一款用于检测越权漏洞的Burp Suite插件,设置好session就能进行自动化测试。

项目主页:https://github.com/SecurityInnovation/AuthMatrix

相似功能的插件还有:Authz。Authz会先访问一遍接口抓包,然后“Send request(s) to Authz”,设置低权限的cookie,“Run”就会使用低权限的cookie去请求,结果会匹配给出相似度百分比,可以查看每个请求的详细。半自动测试。

0x04 LFI scanner checks

LFI scanner checks是国人为burp轻量级扫描器做的一个检测LFI漏洞插件。

链接: http://pan.baidu.com/s/1cqW4VG 密码: 6y1d

0x05 BypassWAF

我们在渗透测试有时遇到WAF(应用层防火墙),这往往令人头疼。Burp Suite是响当当的web应用程序渗透测试集成平台,而这款插件可以帮助你绕过某些WAF。

未来功能:

  • 自动在GET/POST实现HPP攻击测试
  • 自动进行HTTP Request Smuggling攻击

项目主页:https://github.com/codewatchorg/bypasswaf

0x06 s1riu5TheFloor

burpsuite和sqlmap是渗透测试中最常用到的两大神器。最常用的功能是利用burpsuite拦截http请求,然后用sqlmap的r参数读取。s1riu5TheFloor就是一款联动burpsuite和sqlmap的插件。

缺点:适用于Mac,没做跨平台适配

项目主页:https://github.com/5ir1us/Tarot/tree/master/s1riu5TheFloor

相似功能的插件还有CO2。该插件包含诸多功能,如SQLMapper、User Generator、Prettier JS、ASCII Payload Processo、Masher 等功能。但是调用的不是sqlmap的r参数,而是u参数,无法实现对http请求的全部利用。

0x07 BurpKit

插件BurpKit提供了双向JavaScript桥梁API,允许用户在同一时间迅速创建能够直接与DOM交互的BurpSuite插件,以及Burp的扩展API。此举让BurpSuite插件开发人员得以直接在DOM自身运行他们的web应用程序,在检测自身逻辑的同时还可以利用BurpSuite的其他功能。

项目主页:https://github.com/allfro/BurpKit/releases

0x08 CSRF Scanner

CSRF Scanner是一款CSRF漏洞的测试工具,主动扫描CSRF漏洞问题,主要是了加强burpsuite中的CSRF扫描功能。

可以从“ Bapp Store” 界面左侧选择” CSRF Scanner”, 导航到右侧点击“ install”来进行安装

0x10 Java-Deserialization-Scanner

Java-Deserialization-Scanner是一个BurpSuite的插件,用来自动化的发现java反序列化漏洞

项目主页:https://github.com/federicodotta/Java-Deserialization-Scanner

0x12 JSON Decoder

JSON Decoder可以将json数据格式化,比较方便查看。

可以从“ Bapp Store” 界面左侧选择” JSON Decoder”, 导航到右侧点击“ install”来进行安装

0x13 Additional Scanner Checks

Additional Scanner Checks是一款PDF元数据被动扫描插件,用于检查PDF文件

项目主页:https://github.com/luh2/PDFMetadata

原文发布于微信公众号 - 网络安全社区悦信安(yuexin_an)

原文发表时间:2017-10-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Phoenix的Android之旅

开发必须了解的10个Android库

作为一个开发者来说,避免重复造轮子是很重要的,能让你节省很多时间去专注于开发自己的业务。2018年已经过去一大半了,今天介绍下今年以来业界内比较推崇的几个框架,...

4274
来自专栏向治洪

java项目管理工具maven使用初级

一、前言         早就知道maven 在java 项目的管理方面名声显赫,于是就想着学习掌握之,于是查阅了大量文档。发现这些文档的作者都是java 的大...

2729
来自专栏Guangdong Qi

iOS 版本号 Build Number与Version Number

iOS 版本号有两个 Build Number与Version Number,两者有的区别是什么呢

1901
来自专栏Java职业技术分享

Java异步NIO框架Netty实现高性能高并发

最近一个圈内朋友通过私信告诉我,通过使用Netty4 + Thrift压缩二进制编解码技术,他们实现了10W TPS(1K的复杂POJO对象)的跨节点远程服务调...

7731
来自专栏Flutter入门到实战

开发工具总结(4)之Android Studio3.0填坑指南

作为这个世界上走在最前沿的生物“猿”,怎么能对新事物一无所知呢,10月26日,随着Android 8.1 Oreo的预览版发布,Android Studio3....

1094
来自专栏ChaMd5安全团队

众测备忘手册

众测备忘手册 From ChaMd5安全团队核心成员 MoonFish 前言 最近一直在看bugbountyforum对赏金猎人采访的文章以及一些分享姿势的PP...

61110
来自专栏Web项目聚集地

我珍藏的神兵利器(开发篇)

用了有些年头了,高效、顺滑。也是因为从IDEA开始,让我意识到工具的重要性,在折腾工具的这条路上越走越远。

1132
来自专栏纯洁的微笑

Spring Boot 2.0 版的开源项目云收藏来了!

1163
来自专栏杨建荣的学习笔记

dg broker校验失败的一个奇怪问题(r8笔记第50天)

前几天碰到一个看起来有些奇怪的例子,今天抽空把分析过程整理了一下。 有一主一备的一套测试环境,之前环境在我手里,交给另外一个同事之后,重新搭建了dataguar...

2885
来自专栏CodingToDie

业余作者

Your good friend, an amateur writer, is full of energy and ready to write again.

724

扫码关注云+社区

领取腾讯云代金券