burp suite插件推荐
|
424
|
工具,工具分享

Auth_analyzer (⚡使用时候打开)

  • 用于测试授权问题的Burp扩展。实时自动请求重复和参数值提取。日常优先考虑此扩展。
  • 推荐度:🟦🟦🟦🟦🟦🟦🟦🟦🟦🟦 100%
  • GitHub链接: Auth_analyzer

Turbo Intruder (⚡使用时候打开)

  • Burp Suite扩展,用于发送大量HTTP请求并分析结果,常用于条件竞争。
  • 推荐度:🟦🟦🟦🟦🟦🟦🟦🟦🟦🟦 100%
  • GitHub链接: Turbo Intruder

GAP (⚡使用时候打开)

  • getAllParams 扩展的演变。找到更多潜在的参数供研究,并生成特定于目标的词表用于模糊测试。
  • 推荐度:🟦🟦🟦🟦🟦🟦🟦🟦🟦🟦 100%
  • GitHub链接: GAP

AutoDecoder (⚡使用时候打开)

ActiveScan++

  • 扩展了一些官方不支持的漏洞扫描,主要是php漏洞。
  • 推荐度:🟥🟥🟧🟧🟨🟨🟩🟩🟦🟦 96%
  • GitHub链接: ActiveScan++

AutoRepeater (⚡使用时候打开)

  • 用于未授权,Host攻击、XSS、Sql、SSRF等自动化的工具。
  • GitHub链接: AutoRepeater

Http-Request-Smuggler (⚡使用时候打开)

Brida (⚡使用时候打开)

  • Burp与Frida 联动的工具。
  • GitHub链接: Brida

Autorize (⚡使用时候打开)

  • 自动授权测试工具,类似AutoRepeater和Auth_analyzer。
  • GitHub链接: Autorize

J2EEScan (⚡使用时候打开)

  • JAVA漏洞集合工具。
  • GitHub链接: J2EEScan

Backslash-powered-scanner (⚡使用时候打开)

  • 反斜杠驱动的扫描仪,用于查找未知类型的注入/提交漏洞。
  • 推荐度:🟦🟦🟦🟦🟦🟦🟦🟦🟦🟦 100%
  • GitHub链接: Backslash-powered-scanner

JWT-editor (⚡使用时候打开)

  • JWT 渗透必备工具,集合了所有jwt漏洞,burp官方有靶场。
  • GitHub链接: JWT-editor

Domain_Hunter (⚡使用时候打开)

  • 高级版本的domain_hunter,用于SRC挖洞、HW打点等。
  • GitHub链接: Domain_Hunter

Json Web Token (⚡使用时候打开)

Content Type Converter (⚡使用时候打开)

Fiora (⚡使用时候打开)

  • Fiora,Nuclei的图形版,可快速搜索POC。
  • GitHub链接: Fiora

Server-side prototype pollution (⚡使用时候打开)

Wooyun Search (⚡使用时候打开)

  • 根据参数提取乌云历史漏洞文章工具。
  • GitHub链接: Wooyun Search

Turbo DataMiner (⚡使用时候打开)

  • 数据挖掘工具,可深入研究。
  • 推荐度:🟥🟥🟧🟧⬜⬜⬜⬜⬜⬜ 42%
  • GitHub链接: Turbo DataMiner

Hackvertor(✅一直挂着)

  • 基于标签转换编码的工具,可进行多级嵌套,并且可以被其他插件调用。
  • 这是我收集的高级玩法文章:https://www.notion.so/javeley/Hackvertor-38a636cd5a984c01901c62a29532b8e2?pvs=4″

RouteVulScan (⚡使用时候打开)

  • 递归式被动检测自定义脆弱路径,强烈推荐!!!
  • 推荐度:🟦🟦🟦🟦🟦🟦🟦🟦🟦🟦 100%
  • GitHub链接: RouteVulScan

ApiKit (⚡使用时候打开)

  • 接口自动化执行请求,先找到接口了再丢进来就可以帮你构造请求了,被动挂着也能扫,一般都是遇到接口了需要构造请求才开。
  • GitHub链接: ApiKit

PentagridScanController (⚡使用时候打开)

BurpJSLinkFinder

Param Miner (⚡使用时候打开)

  • 此扩展标识隐藏的、未链接的参数。它对于查找Web缓存中毒漏洞特别有用,配合GAP进行FUZZ枚举。
  • GitHub链接: Param Miner

HopLa (⚡使用时候打开)

  • 输入自动补全,还能自定义标签,算是Hackbar的加强版。
  • GitHub链接: HopLa

Hae(✅一直挂着)

  • GitHub链接: Hae

Retire.Js(✅一直挂着)

  • 安服猴子自己拿着水洞吧。
  • GitHub链接: Retire.Js

Custom-send-to(✅一直挂着)

  • 有点意思,将url、headers或者resq、resp的raw包作为变量,可以跟自定义命令拼接起来,如ffuf %U xxxxxx。%u就是url,简便渗透最后一步吧。
  • GitHub链接: Custom-send-to

Reshaper (⚡使用时候打开)

  • 使用可配置的规则触发操作并重塑HTTP请求和响应流量规则。
  • GitHub链接: Reshaper

Sharpener(✅一直挂着)

  • 给Burp UI添加皮肤,以便更轻松地使用。
  • GitHub链接: Sharpener

Collaborator-everywhere(✅一直挂着)

Proxy Action Rules

  • 此扩展可以自动转发、拦截和删除代理请求,同时积极显示代理日志信息和集中列表管理。此扩展还可以阻止广告、跟踪网站、恶意软件网站等。扩展的状态,包括设置、过滤器和数据,可以轻松导出和导入。
  • GitHub链接: Proxy Action Rules

Upload Scanner (⚡使用时候打开)

  • 上传FUZZ,感觉会把一堆垃圾传上去。最后还是没有成功执行shell。
  • GitHub链接: Upload Scanner

TsojanScan (⚡使用时候打开)

源自网络安全行业互助表

暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
									

			

			
			
		

	






上一篇
下一篇