描類插件

在Burpsuite基礎(chǔ)上，拓展各種掃描功能的插件

Active Scan++– Burp Suite 的主動和被動掃描功能擴(kuò)展

Burp Vulners Scanner– 基于 vulners.com 搜索 API 接口掃描漏洞

Additional Scanner checks– 檢查Burp缺少的掃描插件集合

CSRF Scanner– CSRF 掃描擴(kuò)展

HTML5 Auditor– HTML5 審核器 ，檢查是否具有潛在安全風(fēng)險的 HTML5 功能

Software Version Reporter – 軟件版本報告器 ，被動掃描顯示軟件版本號

J2EEScan – J在J2EE應(yīng)用程序的Web應(yīng)用程序滲透測試期間提高測試覆蓋率

Java Deserialization Scanner – 用于檢測和利用Java反序列化漏洞的全能插件

CSP Bypass – 用于檢測CSP內(nèi)容安全策略中的弱點

Burp Sentinel – GUI 插件，簡化了Web應(yīng)用程序中的安全漏洞發(fā)現(xiàn)

Backslash Powered Scanner – 發(fā)現(xiàn)未知類別的注入漏洞

Collaborator Everywhere – Burp Suite Pro擴(kuò)展，通過注入設(shè)計用于引起對Burp Collaborator的pingbacks的非侵入性標(biāo)頭，增強(qiáng)代理流量

Burp Molly Pack – Burp Suite的安全檢查包

Noopener Burp Extension – 在網(wǎng)頁中查找未設(shè)置noopener和noreferrer屬性的target=_blank值

ActiveScan3Plus – ActiveScan++ 修改增強(qiáng)版本

Burp Image Size – Burp Suite的圖像大小問題插件

UUID issues for Burp Suite – Burp Suite的UUID問題插件

JSON array issues for Burp Suite – Burp Suite的JSON數(shù)組問題插件

Burp Retire JS – Burp/ZAP/Maven擴(kuò)展，集成Retire.js倉庫以查找易受攻擊的Javascript庫

SOMEtime – 用于檢測同源方法執(zhí)行漏洞插件

HTTPoxy Scanner – 用于檢查HTTPoxy漏洞插件

ParrotNG – 識別CVE-2011-2461漏洞影響的Adobe Flex應(yīng)用程序（SWF）插件

Error Message Checks – Burp被動掃描應(yīng)用程序透露服務(wù)器錯誤消息插件

Identity Crisis – 檢查特定URL對各種User-Agent標(biāo)頭的響應(yīng)是否不同的插件

CSP Auditor – Burp和ZAP插件，用于分析內(nèi)容安全策略標(biāo)頭或從網(wǎng)站爬取生成模板CSP配置的插件

Burp Suite GWT Scan – 識別GWT（Google Web Toolkit）請求的插件

Minesweeper – 檢測從14000多個惡意加密貨幣挖掘域（cryptojacking）加載腳本的插件

Yara – 此擴(kuò)展允許您根據(jù)自定義Yara規(guī)則，在Burp界面內(nèi)對網(wǎng)站執(zhí)行按需進(jìn)行Yara掃描

WordPress Scanner – 使用WPScan數(shù)據(jù)庫查找WordPress插件和主題中已知的漏洞

Web Cache Deception Burp Extension – 測試應(yīng)用程序是否易受Web緩存欺騙漏洞的影響

UUID Detector – 在HTTP請求中被動檢測到的UUID/GUID。

Software Vulnerability Scanner – 使用Vulners.com API掃描檢測到的軟件版本中的漏洞，和*Burp Vulners Scanner *類似

Reverse Proxy Detector – 檢測反向代理服務(wù)器插件

SRI Check – 用于識別缺少SRI完整性屬性的插件

Reflected File Download Checker – 反射文件下載檢測插件

Length Extension Attacks – 弱簽名機(jī)制執(zhí)行哈希長度擴(kuò)展攻擊的插件

Headers Analyzer – 報告HTTP標(biāo)頭中安全問題插件

HeartBleed – Burp的Suite主用戶界面中添加了新的標(biāo)簽頁，允許對服務(wù)器進(jìn)行HeartBleed漏洞測試。如果服務(wù)器易受攻擊，將轉(zhuǎn)儲并查看從服務(wù)器內(nèi)存中檢索到的數(shù)據(jù)。

Image Size Issues – 動檢測由于請求參數(shù)中指定的圖像大小而導(dǎo)致的潛在拒絕服務(wù)攻擊插件

CMS Scanner – 測試流行的內(nèi)容管理系統(tǒng)CMS漏洞插件

Detect Dynamic JS – 檢測動態(tài)生成的內(nèi)容和僅在用戶認(rèn)證時可訪問的內(nèi)容是否存在安全問題的插件

CTFHelper – 在Web服務(wù)器中掃描一些敏感文件（例如備份文件.index.php.swp或.git目錄），加快CTF解題的插件

Broken Link Hijacking – 第二次接管鏈接檢測插件

Discover Reverse Tabnabbing – 識別易受反向Tabnabbing攻擊的插件

Scan manual insertion point – 允許用戶選擇請求的區(qū)域（通常是參數(shù)值），通過上下文菜單對自定義的插入點執(zhí)行主動掃描

AdminPanelFinder –枚舉基礎(chǔ)設(shè)施和應(yīng)用程序管理界面（OWASP OTG-CONFIG-005）。

HTTP Request Smuggler – HTTPequest Smuggler漏洞插件

iRule Detector – 檢測F5 Networks BigIP負(fù)載均衡器中某些實現(xiàn)的遠(yuǎn)程代碼或命令執(zhí)行（RCE）漏洞

Burp AEM Security Scanner Extension – 專注于AEM配置錯誤問題檢測的插件

FlareQuench – 發(fā)現(xiàn)受Cloudflare保護(hù)的Web應(yīng)用程序的原始IP

Cypher Injection Scanner – 檢測Cypher代碼注入的插件

InQL Scanner – 用于GraphQL安全測試的插件

Attack Surface Detector – 攻擊面檢測插件

ESLinter – 使用ESLint對響應(yīng)中的JavaScript進(jìn)行提取和 lint進(jìn)行安全檢查

403Bypasser – 用于繞過403限制目錄的插件

自定義功能

與自定義Burp功能和以多種方式擴(kuò)展Burp Suite功能相關(guān)的插件

Burp Bounty – Scan Check Builder – 通過直觀的圖形界面，改進(jìn)主動和被動掃描的插件

Distribute Damage – Burp在多個掃描目標(biāo)時，均勻分配負(fù)載的插件

Add & Track Custom Issues – 在Burp中添加和跟蹤自定義掃描問題的插件

Decoder Pro – 解碼和清理垃圾響應(yīng)文本的插件

Decoder Improved – 數(shù)據(jù)編碼轉(zhuǎn)換插件

Request Highlighter – 自動高亮標(biāo)頭內(nèi)容（例如Host、User-Agent、Cookies、Auth令牌、自定義標(biāo)頭等）

Request Minimizer – 自動刪除了不相關(guān)的參數(shù)，例如：隨機(jī)廣告cookie、緩存破壞nonces等

Wildcard – 創(chuàng)建自己的標(biāo)簽頁的插件

Hackvertor – 各種轉(zhuǎn)義和編碼，包括HTML5實體、十六進(jìn)制、八進(jìn)制、Unicode、URL編碼等

Multi-Browser Highlighting –顯示代理歷史記錄，以區(qū)分由不同瀏覽器發(fā)起的請求，為每個瀏覽器分配一種顏色。

Manual Scan Issues – 允許用戶在Burp掃描器結(jié)果中手動創(chuàng)建自定義問題

Handy Collaborator –方便使用Collaborator工具的插件

BadIntent – 使用Burp Suite攔截、修改、重復(fù)和攻擊Android的Binder事務(wù)的插件

IP Rotate – 使用AWS API Gateway在每個請求中輪換代理IP

Timeinator – 用來在不可靠的網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）上執(zhí)行基于時間的攻擊

Auto-Drop Requests – 自動丟棄匹配特定正則表達(dá)式的請求

Scope Monitor – 監(jiān)控和跟蹤測試端點的插件

Taborator –標(biāo)簽頁中改進(jìn)的Collaborator客戶端的插件

pip3line – 原始字節(jié)轉(zhuǎn)換的插件

Auto Drop – 自動丟棄匹配特定正則表達(dá)式的請求，對具有日志記錄或跟蹤服務(wù)，非常有用

Bookmarks – 對請求進(jìn)行書簽標(biāo)記，減少打開類似于100個未命名的重復(fù)器標(biāo)簽頁

Stepper – 多階段重復(fù)器替代品

Response Pattern Matcher – 使用有效payload列表對HTTP響應(yīng)進(jìn)行模式匹配，發(fā)現(xiàn)有趣和潛在易受攻擊

Add & Track Custom Issues –在Burp中添加和跟蹤自定義掃描問題跟蹤的的插件

cstc – 允許使用類似于CyberChef的GUI修改請求/響應(yīng)的插件

Piper for Burp Suite – Piper Burp Suite擴(kuò)展插件

Response Grepper – 根據(jù)正則表達(dá)式自動提取和顯示HTTP響應(yīng)主體中的值

Copy Request & Response –添加了新的上下文菜單條目，可以使用它簡單地復(fù)制所選消息的請求和響應(yīng)到剪貼板

HaE – Highlighter and Extractor – 突出顯示HTTP請求并從HTTP響應(yīng)消息中提取信息

Burp-IndicatorsOfVulnerability – B檢查應(yīng)用程序請求和響應(yīng)中的漏洞

美化器和解碼器

與美化和解碼數(shù)據(jù)格式相關(guān)的擴(kuò)展。

.NET Beautifier – 美化.NET消息參數(shù)并隱藏.NET Web應(yīng)用程序的一些雜項（即 __VIEWSTATE）

JS Beautifier – Burp Suite JS美化器。

Burp ASN1 Toolbox – Burp Suite的ASN.1工具箱

JSON JTree viewer for Burp Suite – Burp Suite的JSON JTree查看器

JSON Beautifier – 用Java編寫的JSON美化器

Browser Repeater –Repeater工具，可在真實瀏覽器中呈現(xiàn)響應(yīng)

GQL Parser – GraphQL擴(kuò)展的Burp Suite解析器

XChromeLogger Decoder – 在HTTP消息編輯器中添加了新的標(biāo)簽頁，以解碼形式顯示X-ChromeLogger-Data

WebSphere Portlet State Decoder – 在新標(biāo)簽頁中顯示W(wǎng)ebSphere Portlet的解碼XML狀態(tài)

PDF Viewer – 在HTTP消息查看器中添加了標(biāo)簽頁，呈現(xiàn)PDF文件

NTLM Challenge Decoder – 解碼NTLM SSP標(biāo)頭。

JCryption Handler – 手動和/或自動對使用JCryption JavaScript庫通過HTTP方法（GET和POST）發(fā)送的數(shù)據(jù)進(jìn)行安全評估

JSWS Parser – 解析包含JavaScript Web Service Proxy（JSWS）的響應(yīng)，并為所有支持的方法生成JSON請求報文

JSON Decoder – HTTP消息編輯器中添加了新的標(biāo)簽頁，并以解碼形式顯示JSON消息

MessagePack – 將MessagePack請求和響應(yīng)解碼為JSON格式，將請求從JSON格式轉(zhuǎn)換為MessagePack

Fast Infoset Tester – 將傳入的Fast Infoset請求和響應(yīng)轉(zhuǎn)換為XML，并將在外出消息轉(zhuǎn)換回Fast Infoset

burp-protobuf-decoder – 簡單的Google Protobuf解碼器

BurpAMFDSer – 使用Xtream庫將AMF請求和響應(yīng)反序列化/序列化為XML

Deflate Burp Plugin – 用于解壓縮ZLIB（RFC1950）和DEFLATE（RFC1951）壓縮格式的HTTP響應(yīng)內(nèi)容

Burp Suite GWT wrapper – GWT封裝的拓展插件

GraphQL Beautifier – Graphql請求報文美化器

Decoder Improved – 改進(jìn)的解碼器

GraphQL Raider – 測試實現(xiàn)GraphQL插件

JSONPath – 查看和從JSON響應(yīng)中提取數(shù)據(jù)的插件

Burp Beautifier – 美化請求/響應(yīng)體，支持JS、JSON、HTML、XML格式

JSON/JS Beautifier – 美化JSON和JavaScript輸出

burp-suite-jsonpath – B查看和從JSON響應(yīng)中提取數(shù)據(jù)的插件

云安全

與評估云安全服務(wù)（如Amazon AWS）相關(guān)的插件

AWS Security Checks – AWS安全問題掃描的插件

AWS Extender – 評估AWS、Google Cloud和Azure上的云存儲容器的權(quán)限的插件

AWS Signer – WS簽名擴(kuò)展的插件

cloud_enum – 多云OSINT工具。在AWS、Azure和Google Cloud中枚舉公共資源的插件

AWS SigV4 – 使用SigV4簽署AWS請求的插件

Burp-AnonymousCloud – 識別云存儲桶，測試是否存在公開可訪問的漏洞的插件

腳本

與腳本相關(guān)的擴(kuò)展插件

Python Scripter –允許在Burp處理的每個HTTP請求和響應(yīng)上執(zhí)行自定義Python腳本

Burpkit – 評估復(fù)雜Web應(yīng)用程序動態(tài)呈現(xiàn)頁面內(nèi)容的插件

Burp Requests – Burp Suite的“復(fù)制為請求”插件

Burpy – 解析Burp Suite日志，并執(zhí)行各種測試，生成HTML報告

Buby – BurpExtender接口的JRuby實現(xiàn)

Burpee – Python對象接口

Reissue Request Scripter – 生成腳本，重新運行選定的請求

Burp Buddy – Burp Suites的擴(kuò)展API

Copy As Python-Requests – 將選定的請求，作為Python-Requests調(diào)用

Copy as PowerShell Requests – 將選定的請求，作為PowerShell調(diào)用

Copy as Node Request – 將選定的請求，作為Node.JS請求調(diào)用

Copy as JavaScript Request – 將選定的請求復(fù)制到剪貼板，作為JavaScript 來調(diào)用

BReWSki – 允許用戶用JavaScript編寫自定義掃描器檢查

OAuth和SSO

用于評估單點登錄（SSO）和OAuth相關(guān)應(yīng)用程序的擴(kuò)展插件

SAML Raider – SAML Raider是Burp Suite擴(kuò)展，用于測試SAML基礎(chǔ)設(shè)施。它包含兩個核心功能：操作SAML消息和管理X.509證書。

Burp OAuth – OAuth插件

EsPReSSO –突出顯示Burp代理窗口中的SSO消息的插件

SAML Encoder/Decoder – 在Burp的主界面中添加了新的標(biāo)簽頁，允許對SAML（安全斷言標(biāo)記語言）格式的消息進(jìn)行編碼和解碼

SAML Editor – 在HTTP消息編輯器中添加了新的標(biāo)簽頁，允許對SAML（安全斷言標(biāo)記語言）格式的消息進(jìn)行編碼和解碼

PeopleSoft Token Extractor – 測試PeopleSoft SSO令牌的插件

JSON Web Token Attacker –測試JSON Web Tokens簽名和加密的應(yīng)用程序的插件

JSON Web Tokens – 測試JSON Web Tokens簽名和加密的應(yīng)用程序的插件

AuthHeader Updater – 身份驗證標(biāo)頭檢測插件

Dupe Key Injector – Dupe Key 注入檢測器

SAMLReQuest – 解碼和修改SAML請求和響應(yīng)，類似于美化器

信息收集

與信息收集、爬取相關(guān)的擴(kuò)展插件

Google Hack – 設(shè)置和運行Google Hack查詢的GUI界面，并允許您將結(jié)果直接添加到Burp的網(wǎng)站地圖中

PwnBack/Wayback Machine – Burp Extender插件，使用Wayback Machine生成網(wǎng)站的站點地圖

Directory File Listing Parser Importer – 解析Web應(yīng)用程序的目錄和文件列表文本文件

Site Map Extractor – 從站點地圖中提取信息

Site Map Fetcher – 獲取站點地圖中未請求項目的響應(yīng)

Burp CSJ – 將Crawljax、Selenium和JUnit集成在一起提高Web應(yīng)用程序的爬取能力

domain_hunter – 嘗試查找組織的子域名、相似域名和相關(guān)域名等

BigIP Discover – 檢測BipIP服務(wù)器設(shè)cookie是否包含私有IP

Asset Discover – 從HTTP響應(yīng)中發(fā)現(xiàn)資產(chǎn)

DirectoryImporter – 將目錄暴力破解結(jié)果導(dǎo)入burp插件

Filter OPTIONS Method –濾掉OPTIONS請求，防止其填充Burp的代理歷史記錄

Subdomain Extractor – 使用上下文菜單選項從Burp導(dǎo)出子域名

SAN Scanner – 通過SSL證書，枚舉相關(guān)域名和服務(wù)

特定漏洞擴(kuò)展

跨站腳本

XSS Validator –自動化和驗證XSS漏洞

burp-xss-sql-plugin – XSS、開放重定向和SQLi插件

Burp Hunter – XSS Hunter插件。

DOM XSS Checks – 掃描基于DOM的跨站腳本插件

Reflector – 反射XSS的Burp插件

BitBlinder –發(fā)現(xiàn)盲XSS漏洞插件

JavaScript Security – 執(zhí)行跨域腳本檢查插件，針對DOM，子資源完整性檢查

jsonp –SONP跨站腳本包含漏洞或繞過內(nèi)容安全策略插件

feminda – 自動化的盲XSS搜索插件

訪問控制

Burplay/Multi Session Replay –越權(quán)插件

AuthMatrix – 越權(quán)插件

Autorize – 自動授權(quán)檢測越權(quán)插件

AutoRepeater – 自動重放HTTP請求越權(quán)插件

Authz – 越權(quán)插件

Paramalyzer – Paramalyzer – 大規(guī)模參數(shù)分析越權(quán)插件

Burp SessionAuth –越權(quán)插件

IncrementMe Please – 主動掃描請求中遞增參數(shù)

Auth Analyzer – 重復(fù)請求帶有自定義標(biāo)頭和令牌的代理請求，檢測授權(quán)缺陷

跨站請求偽造

CSRF Scanner – CSRF掃描器擴(kuò)展

CSurfer – CSRF掃描器

Additional CSRF Checks/EasyCSRF – 繞過的WebApp中的弱CSRF保護(hù)插件

Match/Replace Session Action – 會話處理，提供規(guī)則匹配和替換功能。

Token Extractor – 從響應(yīng)中提取令牌并在請求中替換

CSRF Token Tracker – 為CSRF令牌參數(shù)提供同步功能

Token Rewrite – 響應(yīng)中搜索特定值，如CSRF令牌，并使用它們的值修改后續(xù)請求中的參數(shù)或設(shè)置cookie

burp-multistep-csrf-poc – 生成多步驟CSRF POC

Anti-CSRF Token From Referer – 處理referer中的反CSRF令牌會話規(guī)則

burp-samesite-reporter – SameSite標(biāo)志報告插件

反序列化

Java-Deserialization-Scanner – 檢測和利用Java反序列化漏洞

Java Serial Killer – 執(zhí)行Java反序列化攻擊的插件

BurpJDSer-ng – 將Java對象反序列化為XML，根據(jù)需要動態(tài)加載類/jar。

PHP Object Injection Check – 增加主動掃描檢查，以找到PHP對象注入漏洞

Java Serialized Payloads – 生成各種在執(zhí)行OS命令的Java序列化有效載荷

Freddy, Deserialization Bug Finder – 檢測和利用序列化庫/ API

CustomDeserializer – 通過執(zhí)行自定義反序列化，加快測試速度

BurpJDSer – 使用Xtream庫將Java請求和響應(yīng)序列化/反序列化為XML

PHP Object Injection Slinger – 在PHP框架上找到PHP對象注入漏洞

GadgetProbe – 增強(qiáng)Intruder探測功能，利用Java序列化對象的端點，識別遠(yuǎn)程Java類路徑上的類、庫和庫版本

敏感數(shù)據(jù)暴露

Burp SmartBuster – Burp Suite內(nèi)容發(fā)現(xiàn)插件

PDF Metadata – 掃描程序檢查PDF文件中的元數(shù)據(jù)插件

SpyDir – 自動化強(qiáng)制瀏覽/端點枚舉插件

Burp Hash – 安全令牌（如會話cookie）哈希參數(shù)插件

Param Miner 識別隱藏的、未鏈接的參數(shù)插件，適用于發(fā)現(xiàn)Web緩存中毒漏洞

MindMap Exporter – 協(xié)助記錄以下OWASP測試指南V4測試插件

Image Location and Privacy Scanner – 掃描圖像中的GPS位置或嵌入的與隱私相關(guān)信息（如相機(jī)序列號）插件

Image Metadata – 提取圖像文件中存在的元數(shù)據(jù)插件

ExifTool Scanner – 使用ExifTool從各種文件類型（JPEG、PNG、PDF、DOC、XLS等）中讀取元數(shù)據(jù)插件

Interesting Files Scanner – 對敏感文件和目錄的掃描插件

BeanStack – Stack-trace Fingerprinter – 使用堆棧跟蹤的Java指紋識別插件

Directory Importer – 用于將目錄暴力破解結(jié)果導(dǎo)入Burp以供進(jìn)一步分析插件

JS Link Finder – 掃描JavaScript文件以查找端點鏈接插件 – 排除特定的‘js’文件，例如jquery、google-analytics

Secret Finder –幫助滲透測試人員使用正則表達(dá)式發(fā)現(xiàn)apikeys、accesstokens和更多敏感數(shù)據(jù)插件

Xkeys – 從網(wǎng)頁中提取有趣的字符串（密鑰、秘密、令牌等）插件

SSL Scanner – Burp能夠掃描SSL漏洞插件

SQL注入

CO2 – Burp Suite Web滲透測試工具的增強(qiáng)功能集合

SQLiPy – Python插件，用于Burp SuiteSQLMap API集成SQLMap

SQLiPy Sqlmap Integration – 將Burp Suite與SQLMap集成插件

InjectMate – 為XSS、SQLi和標(biāo)頭注入漏洞生成有效載荷

Burptime – 在burp代理歷史記錄中顯示時間成本，對于基于時間的SQL注入非常有用

SQLi Query Tampering –在Burp Suite的Intruder中添加自定義有效載荷生成器/處理器插件

XXE

Office OpenXML Editor – 增加標(biāo)簽頁以編輯Office Open XML文檔（xlsx、docx、pptx）插件

Content Type Converter – 將XML轉(zhuǎn)換為JSON，JSON轉(zhuǎn)換為XML，x-www-form-urlencoded轉(zhuǎn)換為XML，x-www-form-urlencoded轉(zhuǎn)換為JSON

不安全的文件上傳

Upload Scanner –HTTP文件上傳的安全性測試插件

ZIP File Raider – ZIP文件有效載荷測試插件

File Upload Traverser – 驗證文件上傳是否易受目錄遍歷漏洞的攻擊插件

目錄遍歷

Uploader – 測試不安全文件上傳中的目錄遍歷攻擊插件

off-by-slash – 檢測通過NGINX配置錯誤進(jìn)行的別名遍歷插件

會話管理

WAFDetect – 從HTTP響應(yīng)中被動檢測Web應(yīng)用程序防火墻（WAF）插件

TokenJar – 管理令牌的插件，如反CSRF、CSurf、會話ID。

Token Incrementor – 在每個請求中遞增參數(shù)，與主動掃描一起使用

Token Extractor – 允許從響應(yīng)中提取令牌并在請求中替換

Session Auth – 可以用來識別認(rèn)證權(quán)限提升漏洞插件

Session Timeout Test – 嘗試確定服務(wù)器上的會話超時需要多長時間插件

Session Tracking Checks – 檢查已知會話跟蹤插件

ExtendedMacro – 類似擴(kuò)展版本的Burp Suite宏功能。

AuthHeader Updater – 在掃描期間為身份驗證標(biāo)頭指定令牌值插件

Request Randomizer – 注冊會話處理規(guī)則，在請求中的指定位置放置隨機(jī)值

BearerAuthToken – 測試涉及在每個HTTP請求中輸入安全授權(quán)令牌的插件

Burp Wicket Handler –記錄宏，獲取要提交的頁面插件

Add Request to Macro – 現(xiàn)有宏添加請求插件

Cookie Decrypter – 解密/解碼各種類型的cookie插件

ExtendedMacro – 提供擴(kuò)展宏功能的插件。

Authentication Token Obtain and Replace (ATOR) – 在某些會話管理場景下使用Burp進(jìn)行自動化掃描插件

命令注入

Command Injection Attacker – 作系統(tǒng)命令注入有效載荷生成器插件

Argument Injection Hammer – 識別參數(shù)注入漏洞，如curl awk等，以及類似的插件

模板注入

tplmap Burp Extenson – 用于Tplmap，服務(wù)器端模板注入和代碼注入檢測和利用插件

Web應(yīng)用防火墻繞過類插件

在WAF規(guī)避期間可以提供幫助的擴(kuò)展插件

Bypass WAF – 向所有Burp請求添加標(biāo)頭以繞過一些WAF產(chǎn)品

Random IP Address Header – 自動生成IPV6和IPV4偽造源地址標(biāo)頭以規(guī)避WAF過濾

Burp Suite HTTP Smuggler – 幫助滲透測試人員繞過WAF或使用多種技術(shù)測試其有效性

What-The-WAF – 向Intruder工具添加自定義有效載荷，以幫助測試人員WAF繞過

WAF Cookie Fetcher – 允許W安全測試人員注冊各種與cookie相關(guān)的會話處理操作

WAFDetect – 從HTTP響應(yīng)中被動檢測WAF

LightBulb WAF Auditing Framework – 審計Web應(yīng)用程序防火墻和過濾器

BurpSuiteHTTPSmuggler – 幫助滲透測試人員繞過WAF

Chunked coding converter – 使用Transfer-Encoding技術(shù)來繞過waf插件

日志記錄和注釋

與在評估期間,記錄HTTP流量以及存儲Burp流量相關(guān)的擴(kuò)展插件

Burp Notes – 添加注釋標(biāo)簽頁。更好地組織在滲透測試期間創(chuàng)建的外部文件

Logger++ – 記錄Burp Suite中所有工具的活動日志

Burp Dump –將HTTP(S)請求/響應(yīng)轉(zhuǎn)儲到文件系統(tǒng)

Burp SQLite logger – SQLite記錄器

Burp Git Version – git版本記錄插件

Burp Commentator – 根據(jù)正則表達(dá)式為選定的請求生成注釋

Burp Suite Importer – 連接多個Web服務(wù)器，生成站點地圖插件

Burp Replicator – 幫助開發(fā)人員從滲透測試中復(fù)制發(fā)現(xiàn)的問題

Log Requests to SQLite – 保持HTTP請求的跟蹤，在SQLite數(shù)據(jù)庫中

Flow – 為所有Burp工具提供了類似于代理歷史記錄的視圖以及搜索過濾功能

Custom Logger – 在Burp的主用戶界面中添加了新的標(biāo)簽頁，包含所有Burp工具所做的所有請求的簡單日志

Burp Response Clusterer -將響應(yīng)聚類以顯示接收到的響應(yīng)消息概述

Burp Collect500 –收集所有HTTP 500消息

Sink Logger – 透明地監(jiān)視各種JavaScript接收日志

Burp Scope Monitor Extension –監(jiān)控和跟蹤測試的端點

Burp Savetofile – 將請求或響應(yīng)的正文保存到文件

Log Viewer – 圖形環(huán)境中查看由Burp生成的日志文件

Rapid – 一次性將HTTP請求和響應(yīng)保存到文件中插件

Bookmarks –對請求進(jìn)行書簽標(biāo)記，而不是打開的很多個未命名的重復(fù)標(biāo)簽

Progress Tracker –跟蹤漏洞評估進(jìn)度插件

有效載荷生成器和模糊器

字典表/有效載荷生成器和FUZZ插件

Bradamsa – 使用Radamsa生成Intruder有效載荷

Payload Parser – 解析包含/排除您提供的字符的有效載荷

Burp Luhn Payload Processor –處理攻擊者有效載荷，并自動生成信用卡號碼及使用Luhn算法或公式（也稱為“模10”或“mod 10”算法）生成的類似數(shù)字的插件

Gather Contacts – 從Google和Bing LinkedIn搜索結(jié)果中提取員工姓名

Blazer – Burp Suite AMF擴(kuò)展插件

Wordlist Extractor – 抓取所有獨特的單詞和數(shù)字，用于密碼破解插件

PsychoPATH – 提供可定制的有效載荷生成器，適用于檢測文件上傳和下載功能中的各種文件路徑漏洞插件

Meth0dMan – 根據(jù)站點地圖生成自定義的Burp Intruder有效載荷，允許快速識別HTTP方法的問題

Intruder File Payload Generator – 使用文件內(nèi)容和文件名作為Intruder有效載荷的插件

Intruder Time Payloads – 在Intruder有效載荷中包含當(dāng)前的epoch時間插件

reCAPTCHA – 自動識別圖形驗證碼，用于Intruder中的有效載荷插件

Virtual Host Payload Generator – HTTP請求Host標(biāo)頭的值生成插件，濫用虛擬主機(jī)解析檢測

Stepper – Repeater工具的自然演變，提供創(chuàng)建一系列步驟和定義正則表達(dá)式，從響應(yīng)中提取值，這些值可以在后續(xù)步驟中使用

Turbo Intruder – T用于發(fā)送大量HTTP請求并分析結(jié)果

HackBar – ackBar插件

burpContextAwareFuzzer – 根據(jù)有效載荷類型（整數(shù)、字符串、路徑；JSON；XML；GWT；二進(jìn)制）和最初應(yīng)用的編碼方案應(yīng)用FUZZ測試用例

Adhoc Payload Processors – 即時生成payload處理器

Username Generator – 從目標(biāo)標(biāo)簽頁中選定的URL中解析電子郵件地址，并在擴(kuò)展標(biāo)簽頁的輸出窗口顯示

LogicalFuzzingEngine – 驗證FUZZ測試插件

Hashcat Maskprocessor Intruder Payloads – 受hashcat maskprocessor啟發(fā) 的攻擊載荷插件

Fuzzy Encoding Generator – Intruder中快速測試給定值的各種編碼插件

加密

與解密\加密流量和與加密相關(guān)的攻擊插件

WhatsApp Protocol Decryption Burp Tool – WhatsApp協(xié)議分析插件

AES Burp/AES Payloads – AES加密的有效載荷插件

Crypto Attacker – 幫助檢測和利用常見加密缺陷的插件

AES Killer – 解密移動應(yīng)用程序的AES加密流量插件

Length Extension Attacks – 對弱簽名機(jī)制執(zhí)行哈希長度擴(kuò)展攻擊插件

TLS-Attacker-BurpExtension – 評估TLS服務(wù)器配置插件

Resign v2.0 –修改請求參數(shù)值后自動重新計算簽名值

Web服務(wù)

用于評估Web服務(wù)的擴(kuò)展。

WCF-Binary-SOAP-Plug-In – 編碼和解碼WCF二進(jìn)制Soap請求和響應(yīng)數(shù)據(jù)（“Content-Type: application/soap+msbin1”）

WSDL Wizard – W檢測當(dāng)前和發(fā)現(xiàn)新的WSDL（Web服務(wù)定義語言）插件

BurpWCFDSer –將WCF請求和響應(yīng)反序列化/序列化為XML插件

JSWS – B解析JavaScript WebService代理并創(chuàng)建示例請求的插件

JSON Decoder –HTTP消息編輯器中添加了新的標(biāo)簽頁，并以解碼形式顯示JSON消息

WSDLer – WSDL解析器擴(kuò)展。

POST2JSON – 將POST請求轉(zhuǎn)換為JSON消息

WCF Deserializer – 查看和修改二進(jìn)制SOAP對象插件

Postman Integration – 通過生成Postman集合JSON文件，與Postman工具集成插件

OpenAPI Parser – 解析OpenAPI規(guī)范（以前稱為Swagger規(guī)范），將其納入BurpSuite，以自動化RESTful API測試插件

Content Type Converter 將XML轉(zhuǎn)換為JSON，JSON轉(zhuǎn)換為XML，x-www-form-urlencoded轉(zhuǎn)換為XML，x-www-form-urlencoded轉(zhuǎn)換為JSON插件

Burp Non HTTP Extension –非HTTP協(xié)議擴(kuò)展（NoPE）代理和DNS插件

Swurg – OpenAPI測試設(shè)計的插件

WCFDSer-ngng – B二進(jìn)制soap對象可讀且可修改插件

UPnP Hunter – 發(fā)現(xiàn)活動的UPnP服務(wù)/設(shè)備，并提取相關(guān)的SOAP請求（支持IPv4和IPv6）插件

burp-suite-swaggy – 解析Swagger Web服務(wù)定義文件的插件

Burp WS-Security – 為每個請求，提供有效的WS安全令牌

工具集成

與將Burp Suite與其他軟件/工具集成相關(guān)的擴(kuò)展插件

Report To Elastic Search – 將Burp發(fā)現(xiàn)的問題傳遞到stdout或ElasticSearch數(shù)據(jù)庫

Qualys WAS – 將Burp掃描器發(fā)現(xiàn)的問題,輕松推送到Qualys云平臺內(nèi)的Web應(yīng)用程序掃描（WAS）模塊

NMAP Parser – 解析Nmap輸出文件,添加常見Web應(yīng)用程序端口到Burp目標(biāo)范圍映射的GUI界面

WebInspect Connector – 由HP編寫的HP WebInspect Connector的二進(jìn)制存儲庫

Faraday – 將Burp與Faraday集成滲透測試環(huán)境集成

Git Bridge – 用戶可以右鍵點擊Burp中的支持項目，將它們發(fā)送到git倉庫

Issue Poster – 將發(fā)現(xiàn)的掃描器問題的細(xì)節(jié)發(fā)布到外部Web服務(wù)

Code Dx – 直接將掃描報告上傳到CodeDx，軟件漏洞關(guān)聯(lián)和管理

原文鏈接地址：https://mp.weixin.qq.com/s/QRg_XQTJUGoQMtlaQlrDwQ

unningCheese Firefox 是一款 非常好用 的 火狐瀏覽器定制版，旨在提高 Firefox 的 易用性，瀏覽器 界面優(yōu)美、功能強(qiáng)大、操作簡單、容易上手 是它的 主要特點。該瀏覽器采用 Firefox Quantum 引擎，因此 等待頁面載入的時間更短 ，而且 內(nèi)存占用 比 Chrome 少 30% ，更多介紹 可見 軟件官網(wǎng) 內(nèi)的 詳細(xì)說明。

先訪問 軟件官網(wǎng) 在 頁面下方 的 下載地址 處下載 程序壓縮包，下載完成 后將其解壓在 D:\Program Files 路徑下的 D:\Program Files 文件夾中。雙擊 開始.bat 創(chuàng)建 程序快捷方式，然后對其 鼠標(biāo)右鍵 選擇 固定到任務(wù)欄 或 發(fā)送到 - 桌面快捷方式 以便 啟用程序。

運行程序 后即可見 下方圖示 的 程序界面，需要注意 首次打開 時會提醒 默認(rèn)瀏覽器 設(shè)置，如果 僅需備用 則點擊 暫時不要 按鈕 完成設(shè)定。默認(rèn)版本 已自帶諸多 實用插件，包括：uBlock Origin、Tampermonkey、二維碼、翻譯網(wǎng)頁 等。

該瀏覽器可以在 國內(nèi) 可以使用 同步功能，支持同步 書簽、拓展 和 選項 等信息。先訪問網(wǎng)站 注冊賬戶 并在瀏覽器內(nèi) 右上角 的 菜單欄 中點擊 登錄Firefox 功能，按照要求填入 注冊賬戶 后即可 完成登錄。再次點擊 登錄賬戶 即可查看 同步 - 同步服務(wù)器 設(shè)置，按需更改 所需要的 同步項目 即可。

https://accounts.firefox.com/

該瀏覽器可以 直接訪問 內(nèi)置的 擴(kuò)展中心，與 Chromium 內(nèi)核的瀏覽器相比 安裝插件 要容易的多。點擊 菜單 - 擴(kuò)展和主題 即可見 下方圖示 的 插件列表，在這里我們可以對 不需要 的 擴(kuò)展插件 進(jìn)行卸載。插件安裝 可訪問 下方網(wǎng)站 進(jìn)行 查找安裝。

http://mozilla.com.cn/moz-addon.html
https://addons.mozilla.org/zh-CN/firefox/extensions/

作者已在其網(wǎng)站內(nèi)提供 使用手冊，在這里你可以找到 如何使用、常見問題、擴(kuò)展、書簽、標(biāo)簽、鼠標(biāo)拖拽、鼠標(biāo)手勢 等 使用技巧 及 問題答疑。這些說明將會幫助你 更加容易 的 上手使用 該瀏覽器，你也可以 根據(jù)需要 對其 進(jìn)行調(diào)整，讓它更加的 舒適易用。

https://www.runningcheese.com/firefox-usage

如果你正在使用 Firefox 瀏覽器，不妨試試它看看。如果你僅是好奇，建議你使用 Windows 10 內(nèi)置的 Edge 瀏覽器即可，目前 最新版本 已更換為 Chromium 內(nèi)核，同樣可以安裝 海量插件 進(jìn)行使用。除了 Windows 版本以外，還有 macOS 版，以及 Edge、Chrome 的定制版，感興趣的同學(xué)也可以了解一下。

---

關(guān)注公眾號「 拾集 Plus 」獲取更多圖文推薦！

軟件官網(wǎng)：https://www.runningcheese.com/firefox