文章总结： Entropy是一款专为BurpSuite打造的流量梳理与资产管理插件，通过引入独立梳理台概念，帮助研究人员从杂乱历史中筛选高价值资产。支持全键盘快捷键操作、智能去重及高级搜索，并能一键联动被动扫描器或优化复制给AI分析，有效提升人工筛选与自动化扫描效率。 综合评分： 65 文章分类： 安全工具,产品介绍,渗透测试

基于burp流量梳理与资产管理插件

锐鉴安全

2026年1月6日 07:01 广东

gogo75

书站的未授权漏洞，忆校园青春阅edu证书站的未授权漏洞，忆校园青春

点击蓝字 关注我  共筑信息安全



免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

1

背景

本次实战的案例，源于某高校的人脸采集系统，听着都感觉危害很大，因为全是敏感信息，如身份证、人脸等，拿到就是高危漏洞。从无账号到登录系统，靠的就是fuzz，详细的过程见实战过程。

2

实战过程

通过一系列的信息收集，高校的人脸采集系统引起了作者注意，为什么？因为有敏感信息。

连Hunter、Fofa都没索引到这个系统，作者靠灯塔拿到了，灯塔确实好使，关键还免费，需要的师傅可以文末获取下载链接！

系统的首页如下图，可以看到，只用一个登录按钮。



看下findsomething，也没有找到“注册”功能相关的关键字，同时也跑了下接口，并无接口未授权问题。



本次案例的关键操作来了，首先抓包观察下登录系统的数据包情况，随意输入账号密码，点击登录。



可以看到登录的数据包中有个login关键字，秉着试试的心态！

作者将login改为register，惊喜时刻，注册账号成功。



使用注册成功的账号登录系统。



可以看到获取到了身份凭证。



登录到了个人信息首页。



任意用户注册账号漏洞拿下，这个fuzz操作确实有点妙。都登录系统，肯定得把全量的功能测一遍，一般可以测试sql注入、越权、文件上传等漏洞。

co

点击蓝字 关注我  共筑信息安全

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息、工具等造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

1

工具概述

介绍Entropy 是一款专为 Burp Suite 打造的流量梳理与资产管理插件。它引入了独立的 “梳理台 (Workspace)” 概念，帮助安全研究人员从杂乱的 Proxy 历史中抽离高价值资产。

配合全键盘工作流，您可以极速完成资产的标记与清洗，并一键投喂给 Xray/Rad 等被动扫描器，实现“人工筛选 + 自动化扫描”的完美闭环。总的来说，就是从万万千千的流量中筛选存在漏洞概率的数据包。

主要功能

• 梳理台 (The Workspace)摒弃噪点，聚焦核心。彻底告别 Proxy History 中成千上万图片和静态资源的干扰。
• 资产清洗:仅将感兴趣的数据包发送至 Workspace，构建高价值的“低熵”资产库。
• MIME仪表盘:底部栏实时统计 JSON、HTML、API 等资产分布，资产结构一目了然。
• 智能去重:一键根据 Host + Method + URL + Params 指纹清除重复请求，精简测试目标。
• 高级搜索:支持 Regex 正则表达式（如 login|admin|upload）与普通关键字匹配。

功能详细介绍

1.极速键盘流

告别右键菜单，建立肌肉记忆。在梳理台选中任意请求即可通过快捷键操作：

| | | | | — | — | — | | 快捷键 | 功能 | 功能描述 | | 1-7 | 快速打标 | 1=SQL,2=XSS,3=IDPR,4=SSRF,5=RCE | | d | 清除标记 | 撤销误判，一键清空当前行标签 | | f | 删除行 | 快速移除无用资产 | | q | 投喂代理 | 发送至被动扫描器(Xray/Rad等) | | w | 重放器 | 发送到Burp Repeater | | e | 攻击器 | 发送到 Burp Intruder | | c | 极简复制 | 仅复制Header 和状态码 (Token 节省模式，适合AI分析) | | C | 完成复制 | 复制完整数据包(Shift+c，自动处理二进制防截断) |

2.被动扫描联动

实现无缝的“指哪打哪”工作流。

• 在Config 页配置被动扫描器监听地址。

• 在梳理台选中目标请求，按下q 键。

• 流量将在后台静默转发，不干扰当前手动测试流程。

3.AI 智能复制

专为投喂ChatGPT、Claude、DeepSeek 等 AI 模型设计。

• Copy Lite (c): 智能丢弃响应体，只保留 Header。极大节省 Token，让 AI 专注于逻辑分析。

• Copy Full (Shift+c): 保留完整文本，自动检测并占位二进制数据（如图片、压缩包）和空字节，有效防止剪贴板截断问题。

安装方法

• 下载: 从 Releases 页面获取最新版本的 Entropy.jar。

• 安装: 在 Burp Suite -> Extensions -> Add 中选择插件文件。

• 使用: 在 Proxy 历史记录中右键 -> Send to Workspace，即可开始体验极速工作流。

使用技巧

查看来源：鼠标悬浮在任意一条结果上，即可看到该信息的来源 URL。

复制结果：左键单击,复制信息来源的URL,即是绝对路径。右键单击,复制该条结果的内容，仅复制相对路径。

跳转链接：按住 Ctrl 并同时左键单击，可以直接在浏览器新标签页中打开来源链接。

主要功能界面

期待您的关注

往期好文推荐

记一次”高危”逻辑漏洞挖掘实战

短信验证码高危漏洞案例，不容错过！

值得细品的任意账号接管漏洞

记一次SRC渗透测试实战

推荐！全面的资产侦察及漏洞检测工具

更新|帆软、用友、泛微、蓝凌等常见OA系统综合漏洞检测工具

渗透测试集成工具

Web渗透测试综合工具

推荐一款资产“自动化”筛选工具

Jeecg-boot最新漏洞检测工具

js.map文件还原组合工具

Fuzz参数收集工具

Java漏洞专项检测工具

免密登录某后台管理系统实战

小程序渗透测试之全站用户接管

有趣的Fuzz+BucketTool工具等于双高危！

这个站”穿”了,等同于Getshell？

Edu src证书站IOT(物联网)漏洞挖掘

下载方式：关注公众号，回复“260106”获取工具下载链接

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：锐鉴安全 《基于burp流量梳理与资产管理插件》