【工具】分享自用的Burp插件

Burp Suite常用插件说明

一、sqlmap插件

使用sqlmap.jar可以在测试时通过右键菜单快速把当前测试数据包进行SQLMAP测试

在这里插入图片描述

二、hackebar插件

使用HackBar.jar可以在Burp中使用hackebar功能,具体功能如下:

1、SQL注入:

猜字段数:如果字段数过大,手动输很麻烦
    order by、group by、
联合查询:如果字段数过大,手动输很麻烦
    union select、int、NULL
获取数据信息等等

【工具】分享自用的Burp插件_第1张图片

2、报错查询

【工具】分享自用的Burp插件_第2张图片

3、万能密码

【工具】分享自用的Burp插件_第3张图片

4、XSS测试

【工具】分享自用的Burp插件_第4张图片

5、常用文件路径

日志、目录遍历、各系统常用文件路径等
【工具】分享自用的Burp插件_第5张图片

6、XXE测试

【工具】分享自用的Burp插件_第6张图片

7、快速生成各种shell,反弹shell等

【工具】分享自用的Burp插件_第7张图片

3、Content Type Converter

该插件可以快速互相转换XML到JSON
https://github.com/portswigger/content-type-converter

【工具】分享自用的Burp插件_第8张图片

4、Wsdler

该插件可以自动识别wsdl接口数据并自动测试,就可以不用soapui工具进行测试了。解析WSDL文件并生成对枚举端点的SOAP请求。

【工具】分享自用的Burp插件_第9张图片

5、Jpython

Jython使用JAVA写的调用python的一个jar包,要想使Burp调用python插件就则使用此。

注意Burp加载jpython.jar时不要有中文路径,加载python插件时也不要有中文,所以推荐他们放在一起。

6、Additional Scanner Checks

该插件可以被动扫描DOM型XSS以及HTTP头安全字段检查、HTTP重定向到HTTPS:Burp-MissingScannerChecks.py

项目地址:https://github.com/portswigger/additional-scanner-checks

【工具】分享自用的Burp插件_第10张图片
【工具】分享自用的Burp插件_第11张图片

7、Copy As Python-Requests

此插件可以把请求转换为python的request模块请求代码。

8、CSRF Token Tracker

此插件通过简单的配置会自动更新token值,这样就不用在Burp设置宏功能了。

【工具】分享自用的Burp插件_第12张图片

9、EsPReSSO

该工具可自动识别单点登录协议并自动解析记录且可编辑,支持的协议:SAML、OpenID、OAuth、BrowserId、OpenID Connect、Facebook Connect、Microsoft Account

【工具】分享自用的Burp插件_第13张图片

10、J2EEScan

该插件完全集成到Burp Suite Scanner中; 它添加了一些新的测试用例和新策略来发现不同类型的J2EE漏洞,如:struts漏洞、XXE、Apache、Weblogic、Oracle等等很多漏洞

【工具】分享自用的Burp插件_第14张图片

11、JSON Beautifier

当返回的json数据过多时,该插件可以美化JSON数据,对中文不太友好。

【工具】分享自用的Burp插件_第15张图片

12、JSON Web Tokens

对于使用JWT作为token使用的,可以通过此插件来分析JWT数据。

【工具】分享自用的Burp插件_第16张图片

13、Logger ++

可以使用此插件,记录Burp Suite中特定工具的所有请求和响应,还可以生成CVS格式,可以用来保存爬虫爬行的目录、一个网站的所有请求等

你可能感兴趣的:(WEB安全学习笔记)