渗透测试不可错过的五个Burp Suite开源插件
Burp Suite是安全专家和爱好者中最受欢迎的渗透测试工具之一。以下介绍的五个Burp Suite开源插件能让你的Burp Suite如虎添翼:
一、Auth Analyzer
Auth Analyzer可帮你查找授权错误。当以特权用户身份浏览Web应用程序时,可让Auth Analyzer为任何已定义的非特权用户重复您的请求。通过定义参数,Auth Analyzer还能自动提取和替换参数值。
地址:https://github.com/portswigger/auth-analyzer
二、Autowasp
Autowasp能将Burp问题日志记录与OWASP Web安全测试指南(WSTG)集成在一起,以提供Web安全测试流程。该工具将指导新的渗透测试人员了解Web应用程序安全的最佳实践并自动执行OWASP WSTG检查。
地址:https://github.com/portswigger/autowasp
三、Burp_bug_finder
Burp_bug_finder是一个用Python编写的Burp Suite插件(用Python编写),可用来扫描Web漏洞。当前版本仅关注XSS和基于错误的SQL注入漏洞。用户无需手动为反射或存储的有效载荷发送XSS有效载荷。
地址:https://github.com/lucsemassa/burp_bug_finder
四、Nuclei
Nuclei是一个高度可定制化的快速漏洞扫描工具,主要用于在初期的探测阶段快速扫描已知和易于检测的漏洞。Nuclei使用零误报的定制模板向目标发送请求,同时可以对大量主机进行快速扫描。Nuclei提供TCP、DNS、HTTP、FILE等各类协议的扫描,通过强大且灵活的模板,可以使用Nuclei模拟各种安全检查。
地址:https://github.com/portswigger/nuclei-burp-integration
五、Pentest Mapper
Pentest Mapper将Burp Suite请求日志记录与自定义应用程序测试清单集成在一起。该插件为应用程序渗透测试提供了一个简单的流程。功能包括为渗透测试映射应用程序流程,以更好地分析应用程序及其漏洞的功能。该插件还允许用户使用自定义清单将每个流或API映射或关联到漏洞。
地址:https://github.com/portswigger/pentest-mapper