安全矩阵

 找回密码
 立即注册
搜索
查看: 553|回复: 0

Burpsuite API敏感信息查找插件

[复制链接]

36

主题

36

帖子

120

积分

注册会员

Rank: 2

积分
120
发表于 2024-5-20 23:25:50 | 显示全部楼层 |阅读模式
工具介绍
攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,该插件能让我们发现未授权/敏感信息/越权/登陆接口等。

1 发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证
2 发现通过某接口可以枚举用户信息、密码修改、用户创建接口
3 发现登陆后台网址
4 发现在html、JS中泄漏账号密码或者云主机的Access Key和SecretKey
5 ...





功能如下
1 提取网站的URL链接和解析JS文件中的URL链接
2 前段界面可自行定义敏感关键词、敏感url匹配
3 界面可配置的开启主动接口探测、敏感信息获取
4 集成主流攻防场景敏感信息泄漏的指纹库





集成HaE的敏感信息识别指纹



集成APIKit的敏感信息识别指纹




集成sweetPotato的敏感信息识别指纹








本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 20:58 , Processed in 0.015919 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表