Burp Suite插件 | 提高手动渗透测试效率

文章预览

工具介绍 Burp Suite Extension 功能比较杂，多是出于便捷考虑，提高手动渗透测试效率。 导入：Extensions -> Add -> Select File(Type: java) 核心功能 HTTP Traffic Hook 需求： 很多网站都有HTTP请求 & 响应加解密/加签，这导致想要修改请求或响应的原始报文变得不便。 实现 ： 通过写少量代码，在Burp展示已解密后的请求 & 响应，并在用户修改后自动加密给到server/client。并且同时支持Intruder、Repeater模块。 目前大多同功能插件通过用户选择繁琐的页面配置后，调用对应加解密的函数，对流量进行处理，这样只能满足既定情况。再复杂一点的情况，比如加密 & 加签同时存在、自定义算法的情况下并不适用，而本功能会将请求 & 响应流量的对象给到用户，用户可以通过简单的代码自行完成对请求 & 响应流量的处理。 门槛相对提高一些，但更灵活、适用的场景更多，因此 ………………………………