BurpSuite插件 -- FastjsonScan(反序列化检测)
原创:yushao
公众号:web安全工具库
原文链接:https://mp.weixin.qq.com/s?__biz ... 8a1fcbc183d841c4#rd
一、插件介绍:
一个简单的Fastjson反序列化检测burp插件,我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件
二、下载地址
https://github.com/Maskhe/FastjsonScan
三、安装方法:
1、下载项目中的FastjsonScan.jar文件,在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java)
2、将拦截的包发送到 FastjsonScan
3、 如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏洞,则会展示原始的请求与响应
|