Burp Suite — это мощный инструмент для тестирования безопасности веб-приложений, и его функциональность можно значительно расширить с помощью плагинов (расширений). Вот топ расширений для Burp Suite, которые полезны для пентестеров и исследователей безопасности:
1. Автоматизация и сканирование
-
Turbo Intruder – Ускоренный инструмент для проведения сложных атак перебором (автор PortSwigger).
-
Autorize – Автоматическая проверка контроля доступа (обход аутентификации и авторизации).
-
Flow – Улучшенный HTTP-прокси с историей запросов и удобным поиском.
2. Обход защиты и анализ уязвимостей
-
Bypass WAF – Помогает обходить WAF (Web Application Firewall) с помощью различных техник.
-
Wsdler – Анализирует WSDL/SOAP-сервисы и автоматически генерирует запросы.
-
SAMLRaider – Тестирование SAML-аутентификации на уязвимости.
3. Расширения для реконсосинга
-
Logger++ – Записывает все HTTP-запросы и ответы с возможностью фильтрации.
-
Param Miner – Автоматически находит скрытые параметры и заголовки.
-
Software Vulnerability Scanner – Ищет известные уязвимости в ПО (например, в CMS).
4. Работа с API и протоколами
-
J2EEScan – Сканер уязвимостей в Java EE-приложениях.
-
GraphQL Raider – Тестирование GraphQL API на уязвимости.
-
WS-Attacker – Анализ веб-сервисов (SOAP, WSDL).
5. Декодирование и криптография
-
Burp Crypto – Шифрование/дешифрование данных прямо в Burp.
-
JWT Editor – Работа с JWT-токенами (подпись, взлом, подмена).
-
GadgetProbe – Поиск Java-десериализационных гаджетов.
6. Удобные инструменты для работы
-
Copy As Python-Requests – Копирует запросы в код Python (для скриптов).
-
HackBar – Удобный инструмент для ручного тестирования (аналогично HackBar в браузере).
-
Collaborator Everywhere – Автоматически внедряет Collaborator-запросы для выявления SSRF, RCE и др.
Спасибо за внимание!
ссылка на оригинал статьи https://habr.com/ru/articles/920758/
Добавить комментарий