滲透測試不可錯過的五個Burp Suite開源插件
Burp Suite是安全專家和愛好者中最受歡迎的滲透測試工具之一。以下介紹的五個Burp Suite開源插件能讓你的Burp Suite如虎添翼:
一、Auth Analyzer
Auth Analyzer可幫你查找授權錯誤。當以特權用戶身份瀏覽Web應用程序時,可讓Auth Analyzer為任何已定義的非特權用戶重復您的請求。通過定義參數,Auth Analyzer還能自動提取和替換參數值。
二、Autowasp
Autowasp能將Burp問題日志記錄與OWASP Web安全測試指南(WSTG)集成在一起,以提供Web安全測試流程。該工具將指導新的滲透測試人員了解Web應用程序安全的最佳實踐并自動執行OWASP WSTG檢查。
三、Burp_bug_finder
Burp_bug_finder是一個用Python編寫的Burp Suite插件(用Python編寫),可用來掃描Web漏洞。當前版本僅關注XSS和基于錯誤的SQL注入漏洞。用戶無需手動為反射或存儲的有效載荷發送XSS有效載荷。
四、Nuclei
Nuclei是一個高度可定制化的快速漏洞掃描工具,主要用于在初期的探測階段快速掃描已知和易于檢測的漏洞。Nuclei使用零誤報的定制模板向目標發送請求,同時可以對大量主機進行快速掃描。Nuclei提供TCP、DNS、HTTP、FILE等各類協議的掃描,通過強大且靈活的模板,可以使用Nuclei模擬各種安全檢查。
五、Pentest Mapper
Pentest Mapper將Burp Suite請求日志記錄與自定義應用程序測試清單集成在一起。該插件為應用程序滲透測試提供了一個簡單的流程。功能包括為滲透測試映射應用程序流程,以更好地分析應用程序及其漏洞的功能。該插件還允許用戶使用自定義清單將每個流或API映射或關聯到漏洞。
