渗透测试不可错过的五个Burp Suite开源插件

Burp Suite是安全专家和爱好者中最受欢迎的渗透测试工具之一。以下介绍的五个Burp Suite开源插件能让你的Burp Suite如虎添翼:

一、Auth Analyzer

Auth Analyzer可帮你查找授权错误。当以特权用户身份浏览Web应用程序时,可让Auth Analyzer为任何已定义的非特权用户重复您的请求。通过定义参数,Auth Analyzer还能自动提取和替换参数值。

地址:https://github.com/portswigger/auth-analyzer

二、Autowasp

Autowasp能将Burp问题日志记录与OWASP Web安全测试指南(WSTG)集成在一起,以提供Web安全测试流程。该工具将指导新的渗透测试人员了解Web应用程序安全的最佳实践并自动执行OWASP WSTG检查。

地址:https://github.com/portswigger/autowasp

三、Burp_bug_finder

Burp_bug_finder是一个用Python编写的Burp Suite插件(用Python编写),可用来扫描Web漏洞。当前版本仅关注XSS和基于错误的SQL注入漏洞。用户无需手动为反射或存储的有效载荷发送XSS有效载荷。

地址:https://github.com/lucsemassa/burp_bug_finder

四、Nuclei

Nuclei是一个高度可定制化的快速漏洞扫描工具,主要用于在初期的探测阶段快速扫描已知和易于检测的漏洞。Nuclei使用零误报的定制模板向目标发送请求,同时可以对大量主机进行快速扫描。Nuclei提供TCP、DNS、HTTP、FILE等各类协议的扫描,通过强大且灵活的模板,可以使用Nuclei模拟各种安全检查。

地址:https://github.com/portswigger/nuclei-burp-integration

五、Pentest Mapper

Pentest Mapper将Burp Suite请求日志记录与自定义应用程序测试清单集成在一起。该插件为应用程序渗透测试提供了一个简单的流程。功能包括为渗透测试映射应用程序流程,以更好地分析应用程序及其漏洞的功能。该插件还允许用户使用自定义清单将每个流或API映射或关联到漏洞。

地址:https://github.com/portswigger/pentest-mapper

前一篇美国政府发布国家网络安全战略
后一篇事件响应必备:DNS攻击与防御矩阵