第104天:漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先

Burp插件

Fiora

1
项目地址:https://github.com/bit4woo/Fiora

作用:可以用来主动探针漏洞。漏洞库依靠的是Nuclei

TsojanScan

1
项目地址;https://github.com/Tsojan/TsojanScan

作用:被动扫描常见高危漏洞,和一些常见漏洞。

image-20250905152342285

还行~

感觉明动这个插件已经把这个工具进行平替了

image-20250905152427479

RouteVulScan

1
项目地址:https://github.com/F6JO/RouteVulScan

作用:Burpsuite - Route Vulnerable scanning 递归式被动检测脆弱路径的burp插件

推荐~~~~

image-20250905153416362

image-20250905153521338

这里不知道为什么这个UI显示是这样。

APIKit

1
项目地址:https://github.com/API-Security/APIKit

作用:APIKit可以主动/被动扫描发现应用泄露的API文档,并将API文档解析成BurpSuite中的数据包用于API安全测试。

这个前面就有过介绍:
image-20250905153951926

HaE

1
项目地址:https://github.com/gh0stkey/HaE

作用:可以高亮标记一些敏感信息,比如身份证,邮箱,或者账号密码之类的。

谷歌浏览器插件

Hackbar

1
谷歌商店就有下载

image-20250905154212015

image-20250905154234099

Heimdallr

1
项目地址:https://github.com/Ghr07h/Heimdallr

image-20250905154508899

作用:用来嗅探蜜罐,效果一般,可以不装

Wappalyzer

1
谷歌商店下载

作用:用来识别网站使用的技术,常用来快速识别网站的指纹

image-20250905154644469

image-20250905154752779

FindSomething

1
谷歌商店有下载

image-20250905154905350

作用:用来探针网站中的js中的路径,和泄漏的敏感信息,比如电话号码,手机号码,身份证,还有oss信息这样的内容。

我常用的burp插件

image-20250905155149801

明动和上面的Tsojanscan很像,但是个人觉得功能比他强大一点,然后测试注入点用这个xia sql就可以了,fingerprint这个对常见的oa系统进行指纹探针。APIFinder同样是对敏感信息进行探针的。

image-20250905155516961

明动还要进行配置好。