【工具】分享自用的Burp插件

mind

Burp Suite常用插件说明
一、sqlmap插件
使用sqlmap.jar可以在测试时通过右键菜单快速把当前测试数据包进行SQLMAP测试



二、hackebar插件
使用HackBar.jar可以在Burp中使用hackebar功能，具体功能如下：

1、SQL注入：
猜字段数：如果字段数过大，手动输很麻烦
    order by、group by、
联合查询：如果字段数过大，手动输很麻烦
    union select、int、NULL
获取数据信息等等
1
2
3
4
5


2、报错查询


3、万能密码


4、XSS测试


5、常用文件路径
日志、目录遍历、各系统常用文件路径等


6、XXE测试


7、快速生成各种shell，反弹shell等


3、Content Type Converter
该插件可以快速互相转换XML到JSON
https://github.com/portswigger/content-type-converter



4、Wsdler
该插件可以自动识别wsdl接口数据并自动测试,就可以不用soapui工具进行测试了。解析WSDL文件并生成对枚举端点的SOAP请求。



5、Jpython
Jython使用JAVA写的调用python的一个jar包，要想使Burp调用python插件就则使用此。

注意Burp加载jpython.jar时不要有中文路径，加载python插件时也不要有中文，所以推荐他们放在一起。

6、Additional Scanner Checks
该插件可以被动扫描DOM型XSS以及HTTP头安全字段检查、HTTP重定向到HTTPS：Burp-MissingScannerChecks.py

项目地址：https://github.com/portswigger/additional-scanner-checks




7、Copy As Python-Requests
此插件可以把请求转换为python的request模块请求代码。

8、CSRF Token Tracker
此插件通过简单的配置会自动更新token值，这样就不用在Burp设置宏功能了。



9、EsPReSSO
该工具可自动识别单点登录协议并自动解析记录且可编辑，支持的协议：SAML、OpenID、OAuth、BrowserId、OpenID Connect、Facebook Connect、Microsoft Account



10、J2EEScan
该插件完全集成到Burp Suite Scanner中; 它添加了一些新的测试用例和新策略来发现不同类型的J2EE漏洞,如:struts漏洞、XXE、Apache、Weblogic、Oracle等等很多漏洞



11、JSON Beautifier
当返回的json数据过多时，该插件可以美化JSON数据，对中文不太友好。



12、JSON Web Tokens
对于使用JWT作为token使用的，可以通过此插件来分析JWT数据。



13、Logger ++
可以使用此插件，记录Burp Suite中特定工具的所有请求和响应，还可以生成CVS格式，可以用来保存爬虫爬行的目录、一个网站的所有请求等
————————————————
版权声明：本文为CSDN博主「miss枫」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/a15803617402/article/details/84880219