浩凯信安(本公众号)的技术文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
AutoFuzz 是一款安全测试的辅助型项目,主要用于自动识别请求中的参数,根据预设的 payload 逐个发包测试,从而提高测试效率。在xia_sql基础上根据自己理解在参数解析上进行优化,同时集成工作中常测试的越权与未授权访问场景。
BURP:Extender - Extensions - Add - Select File - Next基本功能
- 启用插件
:顾名思义勾选后该插件启用。 - 监听 Proxy
:自动捕获经过 BurpSuite Proxy 符合条件的请求。 - 监听 Repeter
:自动捕获 BurpSuite Repeter 中符合条件的请求。 - 清空请求记录
:清空右侧表格中的记录。
域名设置
插件仅对用户设置的 域名/IP(现可根据实际情况选择黑/白名单状态) 相关请求发包测试,避免误伤无关站点。
添加域名/IP
点击左侧添加按钮即可添加域名/IP,每行一个,不可重复。
- 编辑域名/IP
选中需要编辑的条目 ,点击左侧编辑,修改后确定。修改后数据不可重复,如果选中多条,则默认修改选中第一条。
- 删除域名/IP
选中需要删除的条目,点击左侧删除,即可删除对应数据,支持多行选中删除。
- 包含子域名
以example. com为例,如不勾选包含子域名,则 host 为y.example.com的请求无法被捕获。
Payload 设置
- 添加payload
点击左侧添加按钮即可添加 payload,每行一个,不可重复。
- 编辑payload
选中需要编辑的条目 ,点击左侧编辑,修改后确定。修改后数据不可重复,如果选中多条,则默认修改选中第一条。
- 删除payload
选中需要删除的条目,点击左侧删除,即可删除对应数据,支持多行选中删除。
- 追加模式
选中后不去掉原本参数。
参数置空 勾选后可增加一项为 空的 payload,在 fuzz 时会将参数值置空。
- URL编码
勾选后,payload 中若存在特殊字符,非 json 格式的参数在 fuzz 时将对特殊字符进行 URL 编码。
Auth Header 设置
- 添加Header
点击左侧添加按钮即可添加需要进行替换的 Header,每行一个,不可重复。
- 编辑Header
选中需要编辑的条目 ,点击左侧编辑,修改后确定。修改后数据不可重复,如果选中多条,则默认修改选中第一条。
- 未授权访问
勾选后,在 fuzz 时会去除列表中设置的所有 Header,进行未授权访问测试。
查找功能
可根据设置的查找作用域在 request 或 response 中查找是否含有输入的字符串信息,不区分大小写,不支持中文查找。
右键菜单
可通过右键菜单发送到插件,无视域名/IP范围,无视去重限制。
Q1:为什么有了 xia_sql 还重新开发 AutoFuzz,有何不同之处?
A1:来自朋友的需求。添加了越权相关功能测试,提高工作测试效率。xia_sql 对复杂嵌套的 json 解析并不完善,不能满足自己测试需求,进行优化后可精确替换 json 中每个参数的 value。BurpSuite 官方已经推出 Montoya API,紧跟时代,学习一下基于新 API 插件开发
Q2:为什么不添加判断漏洞是否存在功能?
A2:不想插件仅限制于测试某一种漏洞,只希望它作为辅助工具提升测试效率,主要是懒得写、不想写、写不来。
Q3:为什么查找功能不支持中文?
A3:不明原因的编码问题,暂时解决不了,有会的大佬可以帮忙解决下,感谢感谢。
Q4:为什么插件有报错日志,影响使用吗?
A4:异常处理没写好,又不太想找是哪里的异常,应该不影响使用吧,也许吧......
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...