文章总结: 该文档系统整理了Burpsuite安全测试常用插件,按功能分为漏洞探测、SQL注入、文件上传、权限绕过、信息收集等类别。重点介绍了Autorize(越权检测)、HaE(敏感信息提取)、autoDecoder(加解密处理)等核心工具的项目地址与实战应用场景,为渗透测试人员提供自动化漏洞检测和效率提升方案。 综合评分: 76 文章分类: 安全工具,WEB安全,渗透测试,安全开发,漏洞分析
常用Burpsuite插件大全
点击关注👉 点击关注👉
马哥网络安全
2026年6月28日 17:00 河南
在小说阅读器读本章
去阅读
推荐默认关闭,使用时开启。
漏洞探测
Autorize:用来测试垂直越权和未授权。 项目地址:https://github.com/Quitten/Autorize
TsojanScan:这是一款基于 Jython 开发的 Burp Suite 自动权限校验检测插件,旨在简化应用安全人员的工作,助力其开展自动化权限测试。
项目地址:https://github.com/Quitten/Autorize
APIKit:APIKit 可以主动/被动扫描发现应用泄露的 API 文档,并将 API 文档解析成 BurpSuite 中的数据包用于 API 安全测试。
项目地址:https://github.com/API-Security/APIKit
Auto-SSRF:Auto-SSRF 是一款基于 BurpSuite MontoyaApi 的自动 SSRF 漏洞探测插件, 捕获 BurpSuite 流经 Passive Audit、Proxy、Repeater 的流量进行 SSRF 漏洞探测分析。
项目地址:https://github.com/banchengkemeng/Auto-SSRF
SQL 注入
DouSql:DouSql 是基于 Xia Sql 二次开发的 Burp Suite SQL 注入辅助检测插件。
项目地址:https://github.com/darkfiv/DouSql
SQL-Injection-Scout:测试 SQL 注入的。我挺喜欢用这个的。还可以配置额外的 Fuzzing 参数。
项目地址:https://github.com/JaveleyQAQ/SQL-Injection-Scout
文件上传
Upload_Auto_Fuzz:专为文件上传漏洞检测设计,提供自动化 Fuzz 测试,共 500+条 payload。在 intruder 模块下使用。
项目地址:https://github.com/T3nk0/Upload_Auto_Fuzz
权限绕过
BypassPro:对权限绕过自动化 bypass 的 burpsuite 插件。遇到 403、提示需登录和无权限的时候,拿出来跑一下。
项目地址:https://github.com/0x727/BypassPro
信息收集
HAE:通过关键词和正则匹配,分析 HTTP 请求与响应报文(包含 WebSocket),辅助我们快速锁定报文中的敏感信息。匹配信息的过程中,不可避免的产生误报,HAE 默认匹配的信息也许不是我们想要关注的,可以根据需要添加或删除。
项目地址:https://github.com/gh0stkey/HaE
CaA:CaA 主要用于分析、拆解 HTTP 协议报文,提取 HTTP 协议报文中的参数、路径、文件、参数值等信息,并统计出现的频次,帮助用户构建出具有实战应用价值的 Fuzzing 字典。除此之外 CaA 可以生成各类 HTTP 请求提供给 BurpSuite Intruder 用于 Fuzzing 工作。通过收集 HTTP 协议报文中的信息,辅助我们对网站进行 Fuzzing,发现隐藏的漏洞面。
项目地址:https://github.com/gh0stkey/CaA
BurpFingerPrint:BurpSuite 插件集成 Ehole 指纹库并进行常见 OA 弱口令爆破插件。我们直接使用Ehole工具对网站进行指纹匹配时,通常会遇到的一个问题,那就是这类工具通常只会访问网站的首页和网站的图标,如果特征是隐藏在网站的子路径下,或者藏在 js 文件中,那就可能被工具放过。开启该插件时,能随时匹配 JS、请求响应中的关键词,尽可能小的减少 CMS 特征匹配的失误。
项目地址:https://github.com/shuanx/BurpFingerPrint
BurpAPIFinder:攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过 html、JS 文件等,通过该 BurpAPIFinder 插件我们可以: 1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证 2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口 3、发现登陆后台网址 4、发现在 html、JS 中泄漏账号密码或者云主机的 Access Key 和 SecretKey 5、自动提取 js、html 中路径进行访问,也支持自定义父路径访问
项目地址:https://github.com/shuanx/BurpAPIFinder
加解密
autoDecoder:遇到网站/APP 的 HTTP 请求和响应报文被加密的情况时使用。使用案例:https://xz.aliyun.com/news/18018
项目地址:https://github.com/f0ng/autoDecoder
Galaxy:可以自定义 Python 脚本,并给出了常见的加密方式的 Python 脚本。
项目地址:https://github.com/outlaws-bai/Galaxy
生成测试信息
xia_Liao:一般用来生成测试数据。
项目地址:https://github.com/smxiazi/xia_Liao
HackBar:集成了常见漏洞的常用 payload,在 repeater 模块,右键选择插入即可。
项目地址:https://github.com/d3vilbug/HackBar
功能增强
MaR:一款网络安全(漏洞挖掘)领域下的辅助型项目,主要用于对 HTTP 协议报文进行精准匹配和智能替换。它可以根据用户定义的规则,在满足特定条件时自动修改 HTTP 请求或响应内容,帮助安全研究人员在渗透测试过程中实现自动化的数据篡改。
项目地址:https://github.com/gh0stkey/MaR
BurpHttpHelper:BurpHttpHelper 是一款 Burpsuite 插件,主要用于简化和解决 Burpsuite 对 Http 的一些操作。
目前实现: HttpHeader 增删改 HttpCookie 增删改 HttpBody 替换 随机 UserAgent RepeaterResponse 自动解码 丢弃特定数据包。
项目地址:https://github.com/MaskCyberSecurityTeam/BurpHttpHelper
MCP
- 1、Burpsuite 也有 mcp https://mp.weixin.qq.com/s/pDe1F1Z-n1aziVDnovUa5g
- 2、 AI + Skill + Burp MCP 协同实战:从匿名入口到记录读取的一次移动端代码审计闭环 https://forum.butian.net/ai_security/95
过特征检测
burp-awesome-tls:遇到检测 Burpsuite 指纹、或者会收集浏览器指纹的网站时开启,避免被某些 WAF 记住特征。
项目地址:https://github.com/sleeyax/burp-awesome-tls
提示词绕过
PromptInjectionScanner:一款专业的 AI 应用 Prompt 注入漏洞检测工具,支持规则检测、AI 智能分析和多轮递归会话攻击。随着 LLM(大语言模型)的兴起,企业也陆续在自家的产品里加入相关的大模型,算是一个新兴的测试点。
项目地址:https://github.com/darkfiv/PromptInjectionScanner
内容转自维度攻防,侵删
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:马哥网络安全 点击关注👉 点击关注👉《常用Burpsuite插件大全》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论