Burp Suite常用插件说明
一、sqlmap插件
使用sqlmap.jar可以在测试时通过右键菜单快速把当前测试数据包进行SQLMAP测试
二、hackebar插件
使用HackBar.jar可以在Burp中使用hackebar功能,具体功能如下:
1、SQL注入:
猜字段数:如果字段数过大,手动输很麻烦
order by、group by、
联合查询:如果字段数过大,手动输很麻烦
union select、int、NULL
获取数据信息等等
2、报错查询
3、万能密码
4、XSS测试
5、常用文件路径
日志、目录遍历、各系统常用文件路径等
6、XXE测试
7、快速生成各种shell,反弹shell等
3、Content Type Converter
该插件可以快速互相转换XML到JSON
https://github.com/portswigger/content-type-converter
4、Wsdler
该插件可以自动识别wsdl接口数据并自动测试,就可以不用soapui工具进行测试了。解析WSDL文件并生成对枚举端点的SOAP请求。
5、Jpython
Jython使用JAVA写的调用python的一个jar包,要想使Burp调用python插件就则使用此。
注意Burp加载jpython.jar时不要有中文路径,加载python插件时也不要有中文,所以推荐他们放在一起。
6、Additional Scanner Checks
该插件可以被动扫描DOM型XSS以及HTTP头安全字段检查、HTTP重定向到HTTPS:Burp-MissingScannerChecks.py
项目地址:https://github.com/portswigger/additional-scanner-checks
7、Copy As Python-Requests
此插件可以把请求转换为python的request模块请求代码。
8、CSRF Token Tracker
此插件通过简单的配置会自动更新token值,这样就不用在Burp设置宏功能了。
9、EsPReSSO
该工具可自动识别单点登录协议并自动解析记录且可编辑,支持的协议:SAML、OpenID、OAuth、BrowserId、OpenID Connect、Facebook Connect、Microsoft Account
10、J2EEScan
该插件完全集成到Burp Suite Scanner中; 它添加了一些新的测试用例和新策略来发现不同类型的J2EE漏洞,如:struts漏洞、XXE、Apache、Weblogic、Oracle等等很多漏洞
11、JSON Beautifier
当返回的json数据过多时,该插件可以美化JSON数据,对中文不太友好。
12、JSON Web Tokens
对于使用JWT作为token使用的,可以通过此插件来分析JWT数据。
13、Logger ++
可以使用此插件,记录Burp Suite中特定工具的所有请求和响应,还可以生成CVS格式,可以用来保存爬虫爬行的目录、一个网站的所有请求等
