Burpsuite 推荐的插件 | Burpsuite Extensions
Contents
正文
https://github.com/Mr-xn/BurpSuite-collections
https://portswigger.net/bappstore
列表重置
- CO2
- SQLiPy Sqlmap Integration
- Active Scan ++
- J2EEScan
- xssValidator
- backslash-powered-scanner
- Collaborator Everywhere
- Copy As Python-Requests
- Copy as PowerShell Requests
- .NET Beautifier
- JSON Beautifier
- utf-8 editor
- Logger++
- Retire.js
推荐插件
0 https://github.com/c0ny1/passive-scan-client
被动扫描
1 CO2
建议使用 xray 做初步判定,之后再用 sqlmap 做细化利用
2 SQLiPy Sqlmap Integration
建议使用 xray 做初步判定,之后再用 sqlmap 做细化利用
3 Active Scan ++
辅助扫描插件
4 J2EEScan
优势是集成了部分 struts 的漏洞,不过有些缺乏更新。
5 自定义 Intrduer 插件
这个一般是根据具体项目情况临时编写的。
6 backslash-powered-scanner
启发式伪智能扫描机制
7 Copy As Python-Requests
快速编写辅助验证脚本
8 Copy as PowerShell Requests
9 eCAPTCHA
Burp 验证码识别插件
https://github.com/bit4woo/reCAPTCHA
10 distributeDamage
针对多个网站低速扫描
11 AuthZ
留存大量接口请求,替换 Cookie 和部分鉴权 Header 后重发
在测试越权漏洞时十分方便。
12 Auto Repeater
可以设置一些替换规则后自动 repeat 请求
13 HTML5 Auditor
合规性检查工具
14 Logger++
用特定正则表达式过滤分析历史流量
收集 Burp 插件发出的请求
15 xssValidator
xss fuzz 工具
16 JS Link Finder
在 js 中寻找路径,用于辅助构造路径枚举字典,与 dirsearch 配合使用。
17 JSON/JS Beautifier
优化 JSON 显示
类似的还有
.NET Beautifier
JSON Beautifier
18 AES-Killer
https://github.com/Ebryx/AES-Killer
29 Burp插件 – 自动标记敏感信息
https://www.freebuf.com/column/198792.html
20
开源项目 | BurpCollector-利用BurpSuite收集字典
https://github.com/TEag1e/BurpCollector
21 utf-8 editor
https://github.com/pajswigger/utf8-message-editor
22 burpFakeIP
在目标网站存在 CDN, 负载均衡 F5 等设备时,可能会信任 XFF 头,导致欺骗生效。
https://github.com/TheKingOfDuck/burpFakeIP
23 burp_collaborator_http_api (DNSlog)
https://github.com/bit4woo/burp_collaborator_http_api
Autorize
Collaborator Everywhere
Retire.js
Logger++
WAFDetect
CSP-Bypass
DomainHunter
Knife
链接
BurpSuite reCAPTCHA
https://github.com/bit4woo/reCAPTCHA
xssValidator
https://payloads.online/archivers/2018-10-19/1
Burp J2EEScan
https://github.com/xl7dev/BurpSuite/tree/master/Extender/J2EEScan
Burp XXEScanner
https://github.com/lufeirider/Project/tree/master/XXEScanner
Burp ContentTypeConverter
https://github.com/NetSPI/Burp-Extensions/tree/master/ContentTypeConverter
https://github.com/NetSPI/Burp-Extensions/releases/tag/1.4
Orange Tsai
https://github.com/bayotop/off-by-slash
DEF CON 26 – Orange Tsai – Breaking Parser Logic Take Your Path Normalization Off and Pop 0Days Out
https://www.youtube.com/watch?v=28xWcRegncw
BlackHat 2018 | 看 Orange Tsai 如何利用四个Bug实现亚马逊协同平台的RCE漏洞
https://www.freebuf.com/vuls/181389.html
Burp XXE Scanner 插件开发(附下载)
https://www.freebuf.com/sectool/171123.html
sqlmap 比较好用的
https://github.com/c0ny1/sqlmap4burp-plus-plus
从头开发一个BurpSuite数据收集插件 (Java)
https://mp.weixin.qq.com/s/XjiNRE3-of2b5rHgNH5jSg
值得关注的插件
1 https://github.com/bugcrowd/HUNT
2 https://github.com/ztosec/secscan-authcheck
其他参考
burpsuite中的几款插件推荐 – 煜铭2011
https://blog.csdn.net/qq_29277155/article/details/51213103
Leave a Reply