BurpSuite插件 -- FastjsonScan（反序列化检测）

你可以因为现任不好二分手，但千万不要认为别人更好，永远有人更好，眼下便是更好。。。

----  网易云热评

 

一、插件介绍：

一个简单的Fastjson反序列化检测burp插件，我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题，本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证，但是我太懒了，先不说burp搭配其他扫描器了，就连找到特定目录下的脚本我都觉得麻烦，所以，我决定一劳永逸地解决这个问题，于是去学习了一下burp插件的写法糊弄出了这个插件

 

二、下载地址：https://github.com/Maskhe/FastjsonScan

 

三、安装方法:

1、下载项目中的FastjsonScan.jar文件，在burp的Extender->Extensions栏，点击Add,选择下载好的jar文件就可以了（执行环境是Java)

2、将拦截的包发送到 FastjsonScan

3、 如果扫描的目标存在漏洞，在窗口下面的Request窗口会展示使用的payload,如果没有漏洞，则会展示原始的请求与响应

 

 

禁止非法，后果自负

欢迎关注公众号：web安全工具库