BurpSuite越权检测辅助插件

admin
admin
admin
0
文章
0
评论
2026-03-13 00:30:44 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档核心介绍了BurpSuite插件AuthKit,旨在辅助检测越权漏洞。该工具通过自动重放原始、未授权及多角色请求样本,对比响应差异以识别未授权访问、水平越权及垂直越权等问题,支持被动捕获与主动送检。此外,文中简述了作者红队背景及圈子权益,提供了工具获取方式。 综合评分: 75 文章分类: 安全工具,WEB安全,渗透测试,红队

cover_image

Burp Suite 越权检测辅助插件

星夜AI安全

2026年3月11日 14:14 吉林

📌各位可以将公众号设为星标⭐

📌这样就不会错过每期的推荐内容啦~

📌这对我真的很重要!

📌1. 本平台分享的安全知识和工具信息源于公开资料及专业交流,仅供个人学习提升安全意识、了解防护手段,禁止用于任何违法活动,否则使用者自行承担法律后果。

📌2. 所分享内容及工具虽具普遍性,但因场景、版本、系统等因素,无法保证完全适用,使用者要自行承担知识运用不当、工具使用故障带来的损失。

📌3. 使用者在学习操作过程中务必遵守法规道德,面对有风险环节需谨慎预估后果、做好防护,若未谨慎操作引发信息泄露、设备损坏等不良后果,责任自负。

工具介绍

AuthKit 能够将单条业务请求快速扩展为 原始未授权 以及 多角色 的对比样本,从而帮助您更高效地识别以下安全问题:

  • 未授权访问
  • 水平越权
  • 垂直越权
  • 对象级授权缺失(BOLA)

该工具支持 被动捕获流量 与 右键主动送检,非常适合集成到 Burp Suite 的日常测试流程中使用。

界面

核心功能

  • 多身份自动重放:自动生成 原始未授权 及 用户A/用户B/… 的对比结果
  • 多维指标展示:支持 响应长度状态码哈希值属性数量排名 等指标
  • 快速定位异常:提供表格差异染色、元数据面板及 响应差异对比
  • 右键菜单联动:支持 发送至 AuthKit 与 提取认证信息至用户
  • 灵活范围控制:支持 域名范围请求过滤器 与 工具类型范围 设定

适用场景

  • 通过 未授权 样本快速排查未授权访问漏洞
  • 通过 用户A / 用户B 样本对比发现水平越权问题
  • 通过 用户 / 管理员 样本对比发现垂直越权问题
  • 通过参数替换验证资源ID、租户ID、用户ID等对象的访问控制
  • 在 代理 或 重放器 中批量巡检高风险接口

关注微信公众号后台回复“20260311 ”,即可获取项目下载地址

关注微信公众号后台回复入群 即可加入星夜AI安全交流群

圈子介绍

现任职于某头部网络安全企业攻防研究部,核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练,精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中,主导突破多个高防护目标网络,曾获“最佳攻击手”“突出贡献个人”等荣誉。

已产出的安全工具及成果包括:

  • 多款主流杀软通杀工具(兼容卡巴斯基、诺顿、瑞星、360等终端防护,无感知运行,突破多引擎联合检测)
  • XXByPassBehinder v1.1 冰蝎免杀生成器(定制化冰蝎免杀工具,绕过主流终端防护与EDR动态检测,支持自定义载荷)
  • 哥斯拉二开免杀定制版(二开优化,深度免杀,突破终端防护与EDR检测,适配多场景植入)
  • NeoCS4.9终极版(高级免杀加载工具,强化载荷注入与进程劫持,适配多系统版本,无兼容问题)
  • WinDump_免杀版(浏览器凭证窃取工具,支持Chrome/Edge/Firefox等主流浏览器,一键提取敏感数据,免杀过防护)_
  • _DumpBrowser_V1_免杀版(浏览器凭证窃取工具,专攻浏览器密码、Cookie、历史记录提取,免杀性能拉满)
  • fscan二开版(二开优化内网扫描工具,增强指纹精度、弱口令爆破与结果标准化输出,适配复杂内网)
  • RingQ加载器二开版(二开优化免杀加载器,支持Shellcode内存执行,绕过各类终端防护与EDR检测)
  • 多款免杀Webshell集合(覆盖PHP/JSP/ASPX,过主流WAF与终端防护,适配不同Web场景)
  • 免杀360专属加载器(支持Shellcode内存执行,针对性绕过360全系防护检测,无感知运行)
  • 一键Kill 火绒 defender 工具 HDKiller(包含源码)
  • win11 一键kill 360工具 InjectKill(包含源码)
  • win11 一键kill defender工具win11_df-killer(包含源码)
  • 免杀火绒6.0内存防护加载器BypassMemLoader

后续将不断更新到内部圈子中 欢迎加入圈子 

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:星夜AI安全 《Burp Suite 越权检测辅助插件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
    ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
    安全领域涉猎者-乌云独行地带
    ZONE.CI 全球网
    评论:0   参与:  0