Burp 插件｜upload fuzzing 大功告成！

续接上篇文章

经过多轮测试和UI 优化，最后大功告成。

前言

此插件的作用不是漏洞扫描，而是辅助作用。

比如当你遇到一个 upload 接口

直接右键发送插件

1. 自动将请求方式从 GET 转换为 POST
2. 构建符合规范的 multipart/form-data 格式请求体
3. 动态生成测试文件并添加到请求体中
4. 实现 Content-Type 字段的模糊测试 (fuzzing)，尝试常见的 MIME 类型变体
5. 对上传文件的后缀名进行变形测试，尝试绕过文件类型过滤
6. 自动分析响应结果，识别潜在的上传漏洞
7. 不支持 bypass

本次开发环境 burp 22.11

api 2.1 同时也构建了 2.3 和 1.7.22 

新版本 burp 导入可能会出错，暂时无法解决。

使用教程

页面如下，导入的操作我就不多说

此插件为主动扫描，选择上传接口，右键发送

UI 界面分为四个功能面板：

1. URL 扫描列表面板

• 用于展示待扫描或已完成扫描的 URL 列表，支持筛选、排序及状态标记等操作。

• 实时记录 Fuzz 测试过程中的参数、尝试次数及匹配结果，可追溯历史测试记录。

• 直观呈现当前或历史请求的数据包详情，包括协议类型、头部字段、请求体内容等。

• 展示服务器返回的响应数据，支持解析状态码、响应头及响应体（如 HTML/JSON 等格式）。

同时 2 面板可以点击任意字段，以便快速发现上传漏洞

点击任意一行，即可右键发送到 repeater 中

数据是通过存入到内存中，一个接口 fuzz 的数量大概是 1248 条，扫描的多，就容易卡顿，再加上这些数据没有什么存储价值，就没有使用数据库功能，直接右键删除就可以了。

下载插件

后台回复 fuzzing，即可获取百度链接

（不要问，为什么不放到 github，因为账号登不上去了）