Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

Burp Suite 推荐的插件 | Burp Suite Extensions

wpadmin~August 3, 2018 /InfoSec

Burpsuite 推荐的插件 | Burpsuite Extensions

Contents

正文

https://github.com/Mr-xn/BurpSuite-collections

https://portswigger.net/bappstore

列表重置

  1. CO2
  2. SQLiPy Sqlmap Integration
  3. Active Scan ++
  4. J2EEScan
  5. xssValidator
  6. backslash-powered-scanner
  7. Collaborator Everywhere
  8. Copy As Python-Requests
  9. Copy as PowerShell Requests
  10. .NET Beautifier
  11. JSON Beautifier
  12. utf-8 editor
  13. Logger++
  14. Retire.js

推荐插件

0 https://github.com/c0ny1/passive-scan-client
被动扫描

1 CO2
建议使用 xray 做初步判定,之后再用 sqlmap 做细化利用

2 SQLiPy Sqlmap Integration
建议使用 xray 做初步判定,之后再用 sqlmap 做细化利用

3 Active Scan ++
辅助扫描插件

4 J2EEScan
优势是集成了部分 struts 的漏洞,不过有些缺乏更新。

5 自定义 Intrduer 插件
这个一般是根据具体项目情况临时编写的。

6 backslash-powered-scanner
启发式伪智能扫描机制

7 Copy As Python-Requests
快速编写辅助验证脚本

8 Copy as PowerShell Requests

9 eCAPTCHA
Burp 验证码识别插件
https://github.com/bit4woo/reCAPTCHA

10 distributeDamage
针对多个网站低速扫描

11 AuthZ
留存大量接口请求,替换 Cookie 和部分鉴权 Header 后重发
在测试越权漏洞时十分方便。

12 Auto Repeater
可以设置一些替换规则后自动 repeat 请求

13 HTML5 Auditor
合规性检查工具

14 Logger++
用特定正则表达式过滤分析历史流量
收集 Burp 插件发出的请求

15 xssValidator
xss fuzz 工具

16 JS Link Finder
在 js 中寻找路径,用于辅助构造路径枚举字典,与 dirsearch 配合使用。

17 JSON/JS Beautifier
优化 JSON 显示

类似的还有
.NET Beautifier
JSON Beautifier

18 AES-Killer
https://github.com/Ebryx/AES-Killer

29 Burp插件 – 自动标记敏感信息
https://www.freebuf.com/column/198792.html

20
开源项目 | BurpCollector-利用BurpSuite收集字典
https://github.com/TEag1e/BurpCollector

21 utf-8 editor
https://github.com/pajswigger/utf8-message-editor

22 burpFakeIP
在目标网站存在 CDN, 负载均衡 F5 等设备时,可能会信任 XFF 头,导致欺骗生效。
https://github.com/TheKingOfDuck/burpFakeIP

23 burp_collaborator_http_api (DNSlog)
https://github.com/bit4woo/burp_collaborator_http_api

Autorize
Collaborator Everywhere
Retire.js
Logger++
WAFDetect
CSP-Bypass
DomainHunter
Knife

链接

BurpSuite reCAPTCHA
https://github.com/bit4woo/reCAPTCHA

xssValidator
https://payloads.online/archivers/2018-10-19/1

Burp J2EEScan
https://github.com/xl7dev/BurpSuite/tree/master/Extender/J2EEScan

Burp XXEScanner
https://github.com/lufeirider/Project/tree/master/XXEScanner

Burp ContentTypeConverter
https://github.com/NetSPI/Burp-Extensions/tree/master/ContentTypeConverter
https://github.com/NetSPI/Burp-Extensions/releases/tag/1.4

Orange Tsai
https://github.com/bayotop/off-by-slash

DEF CON 26 – Orange Tsai – Breaking Parser Logic Take Your Path Normalization Off and Pop 0Days Out
https://www.youtube.com/watch?v=28xWcRegncw

BlackHat 2018 | 看 Orange Tsai 如何利用四个Bug实现亚马逊协同平台的RCE漏洞
https://www.freebuf.com/vuls/181389.html

Burp XXE Scanner 插件开发(附下载)
https://www.freebuf.com/sectool/171123.html

sqlmap 比较好用的
https://github.com/c0ny1/sqlmap4burp-plus-plus

从头开发一个BurpSuite数据收集插件 (Java)
https://mp.weixin.qq.com/s/XjiNRE3-of2b5rHgNH5jSg

值得关注的插件

1 https://github.com/bugcrowd/HUNT
2 https://github.com/ztosec/secscan-authcheck

其他参考

burpsuite中的几款插件推荐 – 煜铭2011
https://blog.csdn.net/qq_29277155/article/details/51213103

Leave a Reply

Your email address will not be published. Required fields are marked *