一款自动解密被加密请求&响应的Burp插件

文章预览

Galaxy 介绍 Galaxy是一款在渗透测试中针对一些网站对数据包和响应包加密的解密插件，能开箱即用，先看一张效果展示图 当前安全测试人员面临的问题 越来越多的网站对HTTP请求 & 响应做了加密/加签，这导致想要修改明文请求/响应非常不方便。 已有插件在面对加密 & 加签同时存在、加密算法组合等情况时不够用，自行编写hook脚本难度大、效率低。 Galaxy特点 简单高效：用户不需要启动多余的本地服务，配置成功后可以自动对报文进行加解密。 上手容易：通用算法已有示例，能做到开箱即用。 灵活：可以使用Python、JS、Java、Grpc多种方式实现。 支持面广：如加密算法组合、自定义算法、动态密钥等均可以支持。 Galaxy 功能介绍 目前其它插件的做法是在用户选择繁琐的页面配置后，用请求/响应调用对应的解密函数完成解密，这样只能满足既定请求。 ………………………………