2026-02-10 14:16:11 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Backup哨兵(Backup-SB)是一款BurpSuite插件，用于自动化扫描Web备份文件。工具通过实时监控HTTP流量提取域名，结合内置90+文件名前缀与10种后缀生成动态字典，采用多线程并发(默认100线程)探测RAR/ZIP/SQL等备份文件。核心特性包括智能去重、文件魔数验证(PK/Rar!/1F8B等)、HEAD请求减少带宽、以及域名专属字典生成(完整域名/去点/子域名/主域名变体)。该工具适用于授权渗透测试场景，符合OWASPWSTG-CONF-04标准，但需注意仅用于合法安全测试。 综合评分： 78 文章分类： 安全工具,渗透测试,WEB安全,漏洞分析,红队

cover_image

Backup哨兵 – 哨兵系列第四弹

原创

0xShe 0xShe

安全社

2026年2月9日 20:31 中国香港

Backup哨兵

Burp Suite 备份文件扫描插件

🎯 工具简介

Backup哨兵（Backup-SB） 是一款专为 Burp Suite 设计的自动化备份文件扫描插件。能够实时监控 HTTP 流量，智能去重，自动提取域名并进行智能化的备份文件探测。

✨ 核心功能

🔍 实时流量监控

自动监听 Burp Suite 的所有 HTTP/HTTPS 请求
智能提取主域名、子域名和 IP 地址
支持非标准端口和各种协议
零配置，加载即用

🎯 智能备份文件探测

支持 RAR、ZIP、GZIP、7z、TAR 等多种压缩格式
支持 SQL、BAK 等数据库备份文件
文件魔数验证，避免误报
文件大小检测（最小 10KB）

🔄 智能去重机制

基于 URL 的自动去重
同一目标只扫描一次
HashSet 快速查找
提高扫描效率

📝 灵活的字典系统

文件名前缀 + 文件后缀 组合方式
内置 90+ 常用文件名前缀
支持 10 种常见文件后缀
用户可自定义并保存配置
支持中文文件名

💾 配置持久化

配置保存为 INI 文件
自动保存在插件同目录
UTF-8 编码支持中文
一键保存，下次自动加载

📊 实时结果展示

爆破列表：显示扫描编号、URL、状态
成功列表：显示发现的文件和大小
状态实时更新：扫描中 → 已完成 → SUCCESS!!!
一键复制：右键复制、批量导出

🚀 扫描特性

高性能并发

多线程并发扫描（默认 100 线程）
ExecutorService 线程池管理
原子操作保证线程安全
可动态调整线程数和并发数

网络优化

使用 HEAD 请求减少带宽消耗
只读取文件头 10 字节验证
10 秒智能超时设置
禁用 SSL 证书验证（支持自签名证书）
禁止自动重定向

文件验证机制

HTTP 状态码验证：仅接受 200 状态
文件大小检测：过滤小于 10KB 的文件
魔数验证：读取文件头验证真实性

ZIP: 50 4B (PK)
RAR: 52 61 72 21 (Rar!)
GZIP: 1F 8B
7z: 37 7A BC AF 27 1C
SQL: 2D 2D 或 2F 2A

三重验证：确保零误报

域名专属字典

针对每个目标自动生成专属字典：

完整域名变体（如：test.example.com.zip）
去点域名（如：testexamplecom.zip）
子域名（如：test.zip）
主域名（如：example.zip）

📚 内置字典（粗略统计）

文件名前缀：90+ 个

文件后缀：10 个

字典规模

基础组合：90 × 10 = 900 个文件名
域名变体：每个目标额外生成 10+ 个专属字典
总计：每个目标约 900-1000 个字典项

⚠️ 使用声明

本工具仅用于授权的安全测试。使用者需：

✅ 获得目标系统的明确授权
✅ 遵守相关法律法规
✅ 承担使用责任
❌ 不得用于非法用途

🎯 工具下载

** 访问官网 ** ：https://github.com/0xShe/Backup-SB

Backup哨兵 – 让备份文件无处遁形 🔍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全社 0xShe 0xShe《Backup哨兵 – 哨兵系列第四弹》