BurpParamFlagger:Burp扩展添加了被动扫描检查以标记其名称或值可能指示SSRF或LFI可能插入点的参数 源码

BurpParamFlagger Burp扩展添加了被动扫描检查,以标记其名称或值可能指示SSRF或LFI可能插入点的参数。 注意:我相信Burp Pro必须使用此扩展,因为它增加了扫描仪功能,而社区版本不包含此功能。 该扩展名将同时查看参数的名称和该参数的值,并查找指示它可能是SSRF或LFI的插入点的任何常用词或模式。 例如,SSRF检查包括查找参数名称(例如“ redirect”,“ url”或“ domain”)以及查找类似于URL的值。 LFI检查将查找诸如“ include”,“ attach”或“ file”之类的名称,并查找具有文件扩展名的值。 一些基本示例: 安装 只需克隆存储库并将扩展加载到Burp中:转到Extender选项卡,单击“添加”,将扩展类型更改为“ Python”,提供克隆的BurpParamFlagger.py文件,然后按照以下提示进行操作。