一个集成的BurpSuite漏洞探测插件1.1

免责声明

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

------鼹鼠(一只正)

工具介绍


一个集成的BurpSuite漏洞探测插件。本着市面上各大漏洞探测插件的功能比较单一,因此与TsojanSecTeam成员决定在已有框架的基础上修改并增加常用的漏洞探测POC,它会以最少的数据包请求来准确检测各漏洞存在与否,你只需要这一个足矣。

工具使用


1、加载插件

2、功能介绍

(1) 面板

自定义黑名单,插件不扫描黑名单的url列表,进行Reg匹配优先级第一。

(2) 主动探测

比如探测非根目录/,目录下面需要加/

3、fastjson >=1.2.80探测

(1) 本地环境

(2) 预查询DNSlog接口

(3) 扫描

(4) 判断准确版本

1.2.80版本探测如果收到了两个dns请求,则证明使用了1.2.83版本,如果收到了一个 dns 请求,则证明使用了1.2.80版本。

相关推荐
小林熬夜学编程15 分钟前
【Linux网络编程】第十四弹---构建功能丰富的HTTP服务器:从状态码处理到服务函数扩展
linux·运维·服务器·c语言·网络·c++·http
Hacker_Fuchen17 分钟前
天融信网络架构安全实践
网络·安全·架构
炫彩@之星19 分钟前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固
上海运维Q先生20 分钟前
面试题整理15----K8s常见的网络插件有哪些
运维·网络·kubernetes
ProtonBase30 分钟前
如何从 0 到 1 ,打造全新一代分布式数据架构
java·网络·数据库·数据仓库·分布式·云原生·架构
独行soc8 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
独行soc10 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
fantasy_arch10 小时前
CPU性能优化-磁盘空间和解析时间
网络·性能优化
Clockwiseee11 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash11 小时前
安全算法基础(一)
算法·安全