Fastjson-Scanner:burp扩展以查找在哪里使用fastjson

时间:2024-04-09 00:25:52
【文件属性】:

文件名称:Fastjson-Scanner:burp扩展以查找在哪里使用fastjson

文件大小:4KB

文件格式:ZIP

更新时间:2024-04-09 00:25:52

Python

Fastjson-扫描仪 闲来无事,在家写了个fastjson初始组件检测,用于探测定位是否使用fastjson。 使用的poc如下: fastjson_poc = '{{"@type":"java.net.URL","val":"http://%s"}:"x"}' % val 优点 不仅能够探测POST中的json数据,还能够判断GET中的json数据,支持urlencode,urldecode等。 两种数据对应格式如下: 得到: GET /?json={"fastjson":"example"} 邮政: POST / ... {"fastjson":"example"} 使用方法 导入插件即可重新开始使用,对数据包进行被动扫描,由于使用的是burp自带的dnslog,所以稍微有些电脑延迟,代码里写了sleep 10来获取结果。 当导入数据包后,在burp内可以看到Fastjson


【文件预览】:
Fastjson-Scanner-master
----fastjson_scan.py(15KB)
----README.md(1021B)

网友评论