验证码 一个burp插件，自动识别图形验证码，并入侵者中的有效载荷。 使用 安装： 从下载插件。 如果没有遇到错误，您将看到一个新的称为“ reCAPTCHA”的标签。 准备： 通过burp代理访问目标网站的登录界面。 在代理中找到获取图形验证码的请求，然后将其并单击右键选择“发送到reCAPTCHA”，这个请求的信息将被发送到reCAPTCHA。 切换到reCAPTCHA标签，并配置所需的参数。当参数配置好后，您可以单击“请求”按钮来测试配置。 的API是目前唯一支持的接口，其中的参数需要自行注册帐号并完成，才能成功调用接口完成图片的识别。该API需要的参数如下，请用正确的值替换％s，特别注意typeid值的设置（ username=%s&password=%s&typeid=%s 在Intruder中使用： 有2种情况：用户名或密码之一+验证码；用户名+密码+验证码；完成了配置并

AutoRepeater：使用Burp Suite重复执行自动HTTP请求 tl; dr 在扩展器中导入AutoRepeater.jar 一些简要说明 AutoRepeater将仅重新发送由已定义的替换更改的请求。 当AutoRepeater收到与为给定选项卡设置的条件相匹配的请求时，AutoRepeater将首先将每个定义的基本替换应用于该请求，然后将复制具有针对每个定义的替换执行的基本替换的请求，并将给定的替换应用于该请求。 介绍 Burp Suite是一个拦截HTTP代理，它是用于执行Web应用程序安全性测试的事实上的工具。 虽然Burp Suite是一个非常有用的工具，但使用它执行授

Burpsuite UAScan 插件 Burpsuite插件：被动方式进行未授权访问漏洞（越权）的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问（越权）问题 如果扫描到未授权访问的URL会显示到空白区域中 采用Jaro-Winkler距离算法进行页面相似度判断，提高准确度 加入过滤器功能，用英文分号分隔可输入多个域名(xxx.xxx)作为过滤，大大提高挖洞效率 简易教程 在Release中下载插件，安装后会多出一个页面：UAScan。 进入这个页面勾选开启被动扫描，然后不用做任何操作，正常使用Burpsuite即可。 自动检测所有的流量，然后将可能存在未授权访问漏洞的URL显示到UAScan的页面中。 一般建议在登录某系统后使用，是挖掘未授权访问漏洞的利器。 目前只排除了静态文件，后续可以自定义排除规则 开发者 小迪安全团队（许少，