Advertisement

BurpFastJsonScan:一个适用于BurpSuite的被动式FastJson检测工具插件

  •  5星
  •     浏览量: 0
  •     大小:None
  •      文件类型:None

简介:
BurpFastJsonScan是一款专为Burp Suite设计的被动式扫描插件,旨在自动识别并分析潜在的FastJson安全漏洞,增强Web应用的安全测试效率。 BurpFastJsonScan 是一款基于 BurpSuite 的被动式 FastJson 检测插件。据说它的诞生是因为作者在实际项目中由于不够细致没有对每个 JSON 进行一次 FastJSON 突破检测,导致差点错过三个目标预算。好在同事足够细心!:) 事后作者后悔不已,于是这个工具就应运而生了。 简介:BurpFastJsonScan 是一个希望能够节省一些渗透测试时间以便进行其他工作的扫描插件。该插件会针对 BurpSuite 中传入的不同域名和端口的 JSON 流量执行一次 FastJSON 的 DNS Log 出网检测。目前的功能包括: - DNS Log 出网检测(由于使用的是恶意 payload,所以如果能够成功发送出去,则表明站点可能存在严重漏洞)。 编译方法:这是一个 Java Maven 项目,安装完对应的包以后可以在 BurpFastJsonScan / out / artif 目录下找到编译文件。

全部评论 (0)

还没有任何评论哟~
客服
客服
客服关闭
  • BurpFastJsonScanBurpSuiteFastJson
    优质
    BurpFastJsonScan是一款专为Burp Suite设计的被动式扫描插件,旨在自动识别并分析潜在的FastJson安全漏洞,增强Web应用的安全测试效率。 BurpFastJsonScan 是一款基于 BurpSuite 的被动式 FastJson 检测插件。据说它的诞生是因为作者在实际项目中由于不够细致没有对每个 JSON 进行一次 FastJSON 突破检测,导致差点错过三个目标预算。好在同事足够细心!:) 事后作者后悔不已,于是这个工具就应运而生了。 简介:BurpFastJsonScan 是一个希望能够节省一些渗透测试时间以便进行其他工作的扫描插件。该插件会针对 BurpSuite 中传入的不同域名和端口的 JSON 流量执行一次 FastJSON 的 DNS Log 出网检测。目前的功能包括: - DNS Log 出网检测(由于使用的是恶意 payload,所以如果能够成功发送出去,则表明站点可能存在严重漏洞)。 编译方法:这是一个 Java Maven 项目,安装完对应的包以后可以在 BurpFastJsonScan / out / artif 目录下找到编译文件。
  • BurpShiroPassiveScan:BurpSuiteShiro
    优质
    BurpShiroPassiveScan是一款专为Burp Suite设计的安全插件,专注于自动识别和分析Web应用程序中Apache Shiro框架的使用情况,帮助开发者及安全测试人员发现潜在的安全隐患。 BurpShiroPassiveScan是一款基于BurpSuite的被动式shiro检测插件,据说它的诞生是因为作者太懒了!不想每个站点自己去添加rememberMe来探测是否使用了shiro框架,于是它就诞生了。 简介:BurpShiroPassiveScan是一个希望能节省一些渗透时间以便于进行测试的扫描插件。该插件会针对传入BurpSuite的不同域名和端口流量执行一次shiro检测。 目前的功能包括: - shiro框架指纹检测 - shiro加密密钥检测 安装方法:这是一个java maven项目,如果你想自己编译的话,请下载源码并自行编译成jar包然后导入到BurpSuite中。如果不想自己编译,则可以使用该项目提供的jar包进行引入。 检测方式: 目前只有一种方式进行shiro框架key的检测——l1nk3r师傅基于原生shiro框架的方法。
  • BurpSuite-UAScan:未授权访问BurpSuite
    优质
    BurpSuite-UAScan是一款专为Burp Suite设计的插件,它通过被动方式检测Web应用中可能存在的未授权访问漏洞,帮助安全测试人员快速发现并评估潜在的安全风险。 Burp Suite UAScan 插件是一款用于被动方式扫描未授权访问漏洞(越权)的工具。插件通过分析经过 Burpsuite 的每一个请求,并利用修改 Cookie 头的方式重新访问,以此来判断是否存在未授权访问问题。如果发现存在未授权访问的问题 URL,则会显示在空白区域中。 该插件采用 Jaro-Winkler 距离算法进行页面相似度的计算以提高准确率,并且提供过滤器功能,允许用户输入多个域名(用英文分号隔开)来进一步提升挖掘漏洞的工作效率。安装教程方面,在下载并安装插件后,会在 Burpsuite 中新增一个 UAScan 页面。只需勾选开启被动扫描选项,之后正常使用工具即可自动检测所有流量,并将可能存在未授权访问问题的 URL 展示在相应的页面中。 建议用户在登录某个系统后使用此功能以更好地挖掘未授权访问漏洞。目前插件仅排除了静态文件,未来可以自定义更多规则来进一步优化其性能和适用性。该工具由小迪安全团队开发维护(许少)。
  • 经过试,Log4j2、Fastjson和Log4jBurpSuite非常有效
    优质
    这款BurpSuite插件经验证在Log4j2、Fastjson及传统Log4j环境中表现出色,为安全测试提供强大支持。 Log4j2、Fastjson 和 Log4j 的 BurpSuite 插件亲测有效且非常好用。无论是老版还是新版的 BurpSuite 都可以使用这些插件。祝大家在挖掘漏洞时顺利进行(工具仅用于学习交流)。
  • BurpSuite-JSScan:JavaScript扫描及漏洞分析
    优质
    Burp Suite JSScan是一款专为安全测试设计的插件,支持主动与被动扫描,帮助用户深入分析并识别网页中嵌入的JavaScript代码潜在的安全风险。 Burpsuite JsScan 插件是一个用于主动和被动进行JS扫描的工具。它包括了主动扫描模块与被动扫描模块。主动扫描使用珍藏字典,并且会分析每一个通过burpsuite的请求,如果是js文件则记录下来并排除常见的JS库,只对自定义JS进行分析。 该插件能够有效发现目标并将找到的自定义JS文件自动添加到内置字典中,逐步完善字典。它还能拓展具体可利用点的分析,比如ajax语法等。 关于解析JS的部分参考了名为JSFinder的实现方法,基于一个大正则表达式。实际上对于寻找可能存在的漏洞和隐藏接口来说,手动分析是最佳方式;而该插件能够快速帮助找到JS文件的URL即可。 使用说明:主动扫描功能可以通过输入JS路径开始(如 https://www.xxx.com/static/js/)。
  • FastjsonScan:简洁Fastjson反序列化Burp
    优质
    简介:FastjsonScan是一款专为Burp Suite设计的插件,用于检测基于Fastjson库的应用程序中的反序列化漏洞。它提供简单且高效的扫描功能,帮助开发者快速发现潜在的安全风险。 FastjsonScan 是一个简单的 Fastjson 反序列化检测 Burp 插件,在我进行漏洞挖掘时发现很多 JSON 请求需要检查是否存在 Fastjson 反序列化的安全问题。可以直接编写脚本来完成这项工作,或者结合其他被动扫描器来验证,但我懒得这样做,于是决定一次性解决这个问题,并开始学习如何写一个 Burp 最终制作出了这个插件。 **安装方法** 1. 下载项目中的 `FastjsonScan.jar` 文件。 2. 在 Burp 的 Extender->Extensions 栏中点击 Add 按钮,选择下载好的 jar 文件即可(需要 Java 环境)。 3. 如果成功安装会输出相应的信息。如果未能顺利安装,请尝试更换 JDK 版本 (我使用的是 1.8)。 **使用方法** 该插件的用法很简单,就像使用 repeater 那样,在 Burp 的任何地方选中一个请求后右键选择【Send to FastjsonScan】即可进行检测。
  • Subfinder:发现有效子域漏洞赏金和安全渗透框架。
    优质
    Subfinder是一款专为漏洞赏金及安全渗透测试设计的高效子域发现工具,采用被动式框架搜集信息,助力网络安全专业人士快速定位目标系统中的潜在风险点。 Subfinder 是一个用于发现网站有效子域的工具,通过使用在线资源来实现被动式枚举。它具有简单且模块化的架构,并针对速度进行了优化。Subfinder 的唯一功能是进行被动式的子域名枚举工作,表现非常出色。 我们设计 Subfinder 时遵循了所有相关许可和使用限制的规定,维护了一致的被动模型以满足渗透测试人员和 Bug 赏金猎人的需求。 **产品特点:** - 简单且模块化的代码库使贡献变得容易。 - 快速而强大的解决方案,并配备有通配符消除功能。 - 通过精心策划的35个来源,确保了最佳结果输出。 - 支持多种格式(如Json、File和Stdout)的结果显示方式。 - 经过速度优化处理,轻便且快速。 **使用方法:** 可以通过 `subfinder -h` 查看工具的帮助信息,并了解所有可用的命令选项。
  • OpenPCDet:LiDAR3D物体
    优质
    OpenPCDet是一款开源软件工具箱,专注于利用激光雷达数据进行三维目标检测研究与应用开发。 OpenPCDet 是一个清晰且简单的开源项目,专注于基于LiDAR的3D物体检测,并提供 , 和 的官方代码版本。 变更日志: [2020-11-27]:错误修复——如果您想使用我们提供的Waymo评估工具,请重新准备Waymo数据集(版本1.2)中的验证信息。请注意,您不需要重新准备训练数据和真实数据库。 [2020-11-10]:新增功能——最新的结果为 提供了支持。目前,在Waymo开放数据集中提供了SECOND、PartA2 和 PV-RCNN 的配置和结果,并且可以通过修改其数据集配置轻松支持更多模型。 [2020-08-10]:错误修复——已更新提供的NuScenes 模型,以修复加载错误。如果您需要使用预训练的NuScenes 模型,请重新下载它。 [2020-07-30] :OpenPCDet v0.3.0 已发布,具有以下功能:现在支持 。目前,在Waymo开放数据集中提供了SECOND、PartA2 和 PV-RCNN 的配置和结果,并且可以通过修改其数据集配置轻松支持更多模型。
  • 化IDEA格
    优质
    这是一个自动化的集成开发环境(IDE)插件,专门设计用于简化和加速代码编写流程,支持IDEA编辑器的标准格式。它通过智能提示、快捷操作等功能提高开发者的工作效率。 支持可配置的、类似 Eclipse 的保存操作功能,包括“优化导入”、“重新格式化代码”、“重新排列代码”以及“编译文件”。此外,还提供了一些针对 Java 语言的快速修复选项,例如添加或删除‘this’限定符等。插件会在文件在磁盘上同步(或保存)时执行配置的操作。
  • PV3_ISLANDINGCONDITION_islanding_ISLANDINGinverter_孤岛机制_孤岛
    优质
    本文探讨了在光伏系统中被动孤岛检测的重要性,并详细分析了基于逆变器的被动孤岛检测机制的工作原理及其在防止电网故障时的安全作用。 针对光伏电站独立防孤岛保护装置现有的被动式孤岛检测方法进行分析。这类方法通常依赖于电网的特定条件来识别孤岛现象,但其响应速度较慢,并且在某些情况下可能无法有效工作。因此,研究和发展更为先进的主动式或混合型孤岛检测技术显得尤为重要,以提高系统的安全性和可靠性。