OneScan二开升级,bypass防重放递归目录扫描+指纹识别Burp插件

0x01 工具介绍

OneScan二开升级之作------OneScan_Expand Burp插件,基于原版OneScan核心能力迭代优化,实现Burp内一站式集成浏览器、bypass放重放、递归目录扫描与指纹识别四大核心功能。针对实战中工具割裂、前端防护难突破、目录扫描不深入等痛点,打通测试全链路,无需切换多工具,大幅提升Web安全渗透测试效率,适配各类真实测试场景,为安全从业者提供高效、便捷的实战辅助工具。

注意:现在只对常读和星标的才展示大图推送,建议大家把渗透安全HackTwo "设为 星标**⭐️****** " 则可能就看不到了啦!

下载地址在末尾 #渗透安全HackTwo

0x02 功能介绍

✨核心功能特性

OneScan_Expand基于已停更的OneScan二开,核心围绕实战场景优化,功能特点简洁总结如下:

Burp内集成浏览器:通过Python+DrissionPage联动Edge/Chrome,绕过前端防重放、浏览器环境检测,获取真实响应。

  • 增强递归目录扫描:支持自定义Payload字典,结合bypass防重放,深挖多层隐藏目录与敏接口,提升扫描深度。
  • 灵活指纹识别:规则化识别,支持自定义规则与历史查看,结果聚合至数据看板,无需切换工具。
  • 全流程工作流集成:内置多页签,实现请求配置、指纹识别、数据收集等全操作,告别工具割裂。
  • 便捷适配配置:兼容主流Burp版本,支持Python、浏览器路径自定义,降低实战使用门槛。

常用字典:

目录扫描主要就是靠字典,在递归扫描、动态变量特性的加持下,可以简化一些测试工作,扫描隐藏接口文档字典

复制代码
/swagger.json/swagger.yaml/swagger-resources/swagger-ui.html/swagger-ui/index.html/api/swagger/api/swagger.json/api/swagger.yaml/v1/api-docs/v2/api-docs/v3/api-docs/api/v1/api-docs/api/v2/api-docs/api/v3/api-docs/doc.html

扫描隐藏的 API 接口字典

复制代码
/list/users/user/1/save/update/servers/services?wsdl/keys/actuator/jolokia/list/getConfig/file/upload/upload/env/add/create/ping

扫描敏感信息泄漏字典示例如下:

复制代码
/.git/config/.svn/entries/{{domain}}.zip/{{domain.main}}.zip/{{domain.name}}.zip/{{subdomain}}.zip/{{webroot}}.zip/config.json/web.config/settings.json/{{date.yy}}_{{date.MM}}_{{date.dd}}.log/Logs/{{date.yy}}_{{date.MM}}_{{date.dd}}.log/Runtime/Logs/{{date.yy}}_{{date.MM}}_{{date.dd}}.log/Application/Runtime/Logs/{{date.yy}}_{{date.MM}}_{{date.dd}}.log

0x03 更新介绍​​​​​​​

复制代码
修复已知问题1.多个请求下,会进行重复唤起浏览器问题2.下版本预测--多线程处理

0x04 使用介绍

📦安装流程

  1. 加载 Burp Suite

  2. 打开 Burp Suite

  3. 进入"扩展"选项

  4. 点击"添加"

  5. 选择已编译的 JAR 文件

  6. 加载扩展程序

下载

⬇️回复20260415获取下载⬇️

相关推荐
xixixi777775 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_466525296 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全
hz567896 小时前
内网视频会议系统建设方案:适合政企单位的安全会议选择
安全·云计算·音视频·实时音视频·信息与通信
2603_954708317 小时前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
其实防守也摸鱼7 小时前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
冰茶丿8 小时前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
长风2309 小时前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全
云水一下10 小时前
DVWA从入门到精通(十七):Open HTTP Redirect(开放重定向)
web安全·dvwa·开放重定向
学逆向的10 小时前
汇编——数据存储模式
开发语言·汇编·网络安全
技术不好的崎鸣同学11 小时前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全