字数 1853,阅读大约需 10 分钟
前言
记录常用插件,虽然现在都加入大模型了,但古法渗透的手艺也不能落下。
Burpsuite 使用插件时,推荐需要用到什么插件就开启什么插件,如果默认状态插件全开,Burpsuite 会变得很慢。一次开一两个需要用到的即可。
遇到有些网站一个 JS 文件 10MB 的情况,如果 Burpsuite 会卡半天,建议临时关闭所有插件。
越权
Autorize
用来测试垂直越权和未授权。https://github.com/Quitten/Autorize
• 推荐默认关闭,使用时开启
这是一款基于 Jython 开发的 Burp Suite 自动权限校验检测插件,旨在简化应用安全人员的工作,助力其开展自动化权限测试。

漏洞探测
TsojanScan
项目地址:https://github.com/Tsojan/TsojanScan
• 推荐默认关闭,使用时开启
一个集成的 BurpSuite 漏洞探测插件。很好用,不考虑 WAF 的 UAT 环境,我喜欢拿这个插件跑一遍,防止有遗漏的漏洞点。
APIKit
项目地址:https://github.com/API-Security/APIKit
• 推荐默认关闭,使用时开启
APIKit 可以主动/被动扫描发现应用泄露的 API 文档,并将 API 文档解析成 BurpSuite 中的数据包用于 API 安全测试。
支持识别的 API 技术的指纹:
• GraphQL • OpenAPI-Swagger • SpringbootActuator • SOAP-WSDL • REST-WADL
Auto-SSRF
项目地址:https://github.com/banchengkemeng/Auto-SSRF
• 推荐开启
Auto-SSRF 是一款基于 BurpSuite MontoyaApi 的自动 SSRF 漏洞探测插件, 捕获 BurpSuite 流经 Passive Audit、Proxy、Repeater 的流量进行 SSRF 漏洞探测分析。
SQL 注入
DouSql
DouSql 是基于 Xia Sql 二次开发的 Burp Suite SQL 注入辅助检测插件
https://github.com/darkfiv/DouSql
• 推荐默认关闭,使用时开启

SQL-Injection-Scout
项目地址:https://github.com/JaveleyQAQ/SQL-Injection-Scout
• 推荐默认关闭,使用时开启
测试 SQL 注入的。我挺喜欢用这个的。还可以配置额外的 Fuzzing 参数。
文件上传
Upload_Auto_Fuzz
项目地址:https://github.com/T3nk0/Upload_Auto_Fuzz
• 推荐默认关闭,使用时开启
专为文件上传漏洞检测设计,提供自动化 Fuzz 测试,共 500+条 payload。在 intruder 模块下使用。
权限绕过
BypassPro
项目地址:https://github.com/0x727/BypassPro
• 推荐默认关闭,使用时开启
对权限绕过自动化 bypass 的 burpsuite 插件。
遇到 403、提示需登录和无权限的时候,拿出来跑一下。
信息收集
HAE
项目地址:https://github.com/gh0stkey/HaE
• 推荐默认开启

通过关键词和正则匹配,分析 HTTP 请求与响应报文(包含 WebSocket),辅助我们快速锁定报文中的敏感信息。
匹配信息的过程中,不可避免的产生误报,HAE 默认匹配的信息也许不是我们想要关注的,可以根据需要添加或删除。
CaA
项目地址:https://github.com/gh0stkey/CaA
• 推荐默认开启

CaA 主要用于分析、拆解 HTTP 协议报文,提取 HTTP 协议报文中的参数、路径、文件、参数值等信息,并统计出现的频次,帮助用户构建出具有实战应用价值的 Fuzzing 字典。除此之外 CaA 可以生成各类 HTTP 请求提供给 BurpSuite Intruder 用于 Fuzzing 工作。
通过收集 HTTP 协议报文中的信息,辅助我们对网站进行 Fuzzing,发现隐藏的漏洞面。
BurpFingerPrint
项目地址:https://github.com/shuanx/BurpFingerPrint
• 推荐默认开启
BurpSuite 插件集成 Ehole 指纹库并进行常见 OA 弱口令爆破插件。
我们直接使用Ehole工具对网站进行指纹匹配时,通常会遇到的一个问题,那就是这类工具通常只会访问网站的首页和网站的图标,如果特征是隐藏在网站的子路径下,或者藏在 js 文件中,那就可能被工具放过。
Burpsuite 开启该插件时,能随时匹配 JS、请求响应中的关键词,尽可能小的减少 CMS 特征匹配的失误。
BurpAPIFinder
https://github.com/shuanx/BurpAPIFinder
攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过 html、JS 文件等,通过该 BurpAPIFinder 插件我们可以:1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口3、发现登陆后台网址4、发现在 html、JS 中泄漏账号密码或者云主机的 Access Key 和 SecretKey5、自动提取 js、html 中路径进行访问,也支持自定义父路径访问 ...
加解密
autoDecoder
项目地址:https://github.com/f0ng/autoDecoder
• 推荐默认关闭,使用时开启
遇到网站/APP 的 HTTP 请求和响应报文被加密的情况时使用。
使用案例:
• https://xz.aliyun.com/news/18018
类似的 Burpsuite 插件还有:
• BurpCrypto https://github.com/whwlsfb/BurpCrypto • 通用加解密方法可以直接配置使用,还可以执行简单的 JS 代码,遇到简单的 JS 加解密函数,可以扣下来放进去直接用。
Galaxy
项目地址:https://github.com/outlaws-bai/Galaxy
• 推荐默认关闭,使用时开启

和 autoDecoder 的功能类似,也可以自定义 Python 脚本,并给出了常见的加密方式的 Python 脚本。
生成测试信息
xia_Liao
项目地址:https://github.com/smxiazi/xia_Liao
• 推荐默认关闭,使用时开启
我一般用来生成测试数据

HackBar
项目地址:https://github.com/d3vilbug/HackBar
• 推荐默认开启
师傅们看到 HackBar,就能大概了解插件的用途。里面集成了常见漏洞的常用 payload,在 repeater 模块,右键选择插入即可。

其他一个可以自定义的 Burpsuite 插件:Doraemon
• https://github.com/yuyan-sec/Doraemon
功能增强
MaR
项目地址:https://github.com/gh0stkey/MaR
MaR(Matcher and Replacement)是一款网络安全(漏洞挖掘)领域下的辅助型项目,主要用于对 HTTP 协议报文进行精准匹配和智能替换。它可以根据用户定义的规则,在满足特定条件时自动修改 HTTP 请求或响应内容,帮助安全研究人员在渗透测试过程中实现自动化的数据篡改。
• MaR 之 Vue 前端通杀鉴权绕过剖析 https://mp.weixin.qq.com/s/vCA1dlbPXMjX_M8ggTCs5g
BurpHttpHelper
项目地址:https://github.com/MaskCyberSecurityTeam/BurpHttpHelper
• 推荐默认关闭,使用时开启
BurpHttpHelper 是一款 Burpsuite 插件,主要用于简化和解决 Burpsuite 对 Http 的一些操作。
目前实现: HttpHeader 增删改 HttpCookie 增删改 HttpBody 替换 随机 UserAgent RepeaterResponse 自动解码 丢弃特定数据包。
我一般用来丢弃特定数据包。Burpsuite 原版的这个功能不是很好用。
MCP
项目地址:https://github.com/six2dez/burp-ai-agent
• 推荐默认关闭,使用时开启 
72f65c7491d114fae27e9169c9795470.png • Burpsuite 也有 mcp https://mp.weixin.qq.com/s/pDe1F1Z-n1aziVDnovUa5g • AI + Skill + Burp MCP 协同实战:从匿名入口到记录读取的一次移动端代码审计闭环https://forum.butian.net/ai_security/95
过特征检测
burp-awesome-tls
项目地址:https://github.com/sleeyax/burp-awesome-tls
• 推荐默认关闭,使用时开启

遇到检测 Burpsuite 指纹、或者会收集浏览器指纹的网站时开启,避免被某些 WAF 记住特征。
提示词绕过
PromptInjectionScanner
项目地址:https://github.com/darkfiv/PromptInjectionScanner
• 推荐默认关闭,使用时开启
一款专业的 AI 应用 Prompt 注入漏洞检测工具,支持规则检测、AI 智能分析和多轮递归会话攻击。
随着 LLM(大语言模型)的兴起,企业也陆续在自家的产品里加入相关的大模型,算是一个新兴的测试点。
夜雨聆风