Burp Suite是渗透测试人员的必备工具之一,丰富的HTTP请求分析和拦截功能;强大的攻击模拟工具,可发现应用程序漏洞;可扩展的自定义脚本和插件支持;快速高效的渗透测试流程和工具,提高测试效率。梳理了10个辅助渗透插件如下:
1.Extender:Extender插件是Burp Suite的基础插件,它允许用户编写自己的自定义插件来增强Burp Suite的功能。用户可以使用Java编写插件,实现一些高级功能,比如在扫描中自定义Payload,通过REST API批量自动化任务等。
https://github.com/nian-hua/BurpExtender
2.Turbo Intruder:Turbo Intruder插件是一款非常快速的暴力破解工具,它可以通过多线程同时攻击多个目标,从而显著提高破解速度。它支持多种攻击方式,比如字典攻击、Fuzzing、Brute Force等。
https://github.com/PortSwigger/turbo-intruder
3.ActiveScan++:ActiveScan++是一款非常强大的主动式漏洞扫描器,它可以在Web应用程序中发现多种类型的漏洞,比如SQL注入、XSS攻击等。它支持自定义Payload、自动检测参数类型等。
https://github.com/albinowax/ActiveScanPlusPlus
4.Logger++:Logger++插件是一款强大的日志记录工具,它可以帮助用户记录所有通过Burp Suite的请求和响应,包括HTTP、WebSocket、DNS、TLS等。用户可以将这些日志导出为文件,并进行后续的分析和处理。
https://github.com/nccgroup/LoggerPlusPlus
5.Flow:Flow插件是一款非常实用的流量管理工具,它可以帮助用户快速识别和分析复杂的请求和响应流。用户可以使用它来捕获、分析和编辑流量数据,还可以实现一些自定义的流程控制和过滤。
https://github.com/hvqzao/burp-flow
6.HackBar:HackBar插件是一款方便的工具栏,可以快速进行Web应用程序的漏洞测试。它支持多种类型的攻击方式,比如SQL注入、XSS攻击等,还可以轻松地进行加密和解密操作。
https://github.com/d3vilbug/HackBar
7.SAML Raider:SAML Raider插件是一款专门针对SAML单点登录协议的工具,可以帮助用户快速识别和分析SAML消息中的漏洞。它支持多种攻击方式,比如重放攻击、XSW攻击等。
https://github.com/SAMLRaider/SAMLRaider
8.AuthMatrix:AuthMatrix插件是一款快速的身份验证管理工具,可以帮助用户自动化身份验证测试。它支持多种身份验证方式,比如基本身份验证、表单身份验证、Cookie身份验证等。
https://github.com/SecurityInnovation/AuthMatrix
9.Param Miner:Param Miner插件是一款方便的参数发现工具,可以帮助用户自动化发现Web应用程序中的参数,从而提高漏洞探测的效率。它支持自定义Payload,可以自动发现隐藏参数、未加密的参数等。
https://github.com/PortSwigger/param-miner
10.Wsdler:Wsdler插件是一款方便的Web服务描述语言(WSDL)解析工具,可以帮助用户自动化探测和分析Web服务的接口。它支持多种自定义Payload,可以自动识别和解析WSDL文件,还可以生成SOAP请求并发送给Web服务。
https://github.com/NetSPI/Wsdler
这些插件可能需要手动编译或安装,具体操作方式可以参考各个插件的GitHub页面上的文档和说明。