文章总结： 作者自制轻量级Burp插件，可自动识别Proxy请求中带url参数的包并发起SSRF探测，内置DNS回调无需额外配置，支持开关、手动触发、白名单过滤及日志输出，满足个人化测试需求，公众号回复SSRF获取。 综合评分： 72 文章分类： WEB安全,渗透测试,安全工具

Burp小插件之SSRF

原创

pippybear

安全无界

2026年1月5日 22:54 上海

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

今天来分享一个小burp插件（SSRF探测），虽然已经有不少成熟的SSRF插件了，但是可能因为不是按照自己的想法捣鼓的，总觉得用起来不是很舒服，于是抽空人工+AI快速搞了一个小插件给自己使用。

其实核心也很简单，就是自动识别proxy中的request，如果带有url等参数，则发送SSRF探测，dns采用burp自带的，因此不用再额外配置。

像上面这样，打开Proxy检测就会自动对数据报中带有url等参数的request进行SSRF探测了，如下。

支持关掉，虽然感觉这功能有点鸡肋，但是防止有时候需要嘛，主打的万一需要呢，哈哈。

另外这个和上面有点一个意思，万一想手动触发不是，这不就加了一个手动触发，主打的就是麻雀虽小，五脏俱全。

另外还稍稍支持了一下白名单，有时候测试的时候并不想测试某些host，这不就可以添加白名单，添加后自动扫描就会忽略掉相应host（UI丑是丑了点，但是能用不是，嘿嘿）。

当然可以添加，那必然得支持可以remove，哈哈。

最后就是控制台log输出，这个主要就是部分操作会log记录一下，不重要，主要还是我写的时候debug用，哈哈。

emmm，文章写着写着，发现颜色似乎有点单调，于是乎又小改了一下，大概效果如下，这下是不是舒服多了。

满足自我需求的小脚本哈，有需求的大佬，可以公众号回复“SSRF”获取哈。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全无界 pippybear《Burp小插件之SSRF》