GAP-Burp-Extension是一款功能强大的Burp扩展,该工具在getAllParams扩展的基础上进行了升级,该工具不仅可以帮助广大研究人员在安全审计过程中扫描潜在的参数,而且还可以搜索潜在的链接并使用这些参数进行测试,然后生成一个针对性的字典用于模糊测试。
Burp Suite
Java
Python
Jython
1、参数模式:工具将尝试寻找更可能多的潜在参数;
2、链接模式:工具会尝试搜索尽可能多的URL链接;
3、字典模式:工具将根据请求响应生成一个有针对性的字典列表以供后续模糊测试使用;
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/xnl-h4ck3r/GAP-Burp-Extension.git
首先,我们需要访问【 Jython官网】下载并安装最新版本的JAR文件,例如jython-standalone-2.7.3.jar。
打开Burp,点击“Extensions -> Extension Settings -> Python Environment”,设置好“Location of Jython standalone JAR file”(Jython独立JAR文件路径),并将“Folder for loading modules”设置为Jython JAR文件保存的目录路径。
然后在命令行窗口,切换到JAR文件所在目录,并运行下列命令:
java -jar jython-standalone-2.7.3.jar -m ensurepip
将GAP-Burp-Extension项目中的GAP.py和requirements.txt文件移动到相同目录中,然后运行下列命令安装Jython模块:
java -jar jython-standalone-2.7.3.jar -m pip install -r requirements.txt
点击“Extensions -> Installed”,然后点击“Add”按钮,选择“Extension type of Python”,然后选择GAP.py文件即可。
1、在Burp范围(或多个目标)中选择一个目标,也可以直接选择一个子目录或节点,然后选择GAP扩展:
或者,也可以直接在任意上下文中直接右键单击一个请求或响应,并在扩展菜单中选择GAP。
2、然后切换到GAP标签页中查看结果:
GAP-Burp-Extension:【 GitHub传送门】