# FastjsonScan
一个简单的Fastjson反序列化检测burp插件
我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件
### 安装方法
- 下载项目中的FastjsonScan.jar文件
- 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java)
如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8
![](images/json.png)
### 使用方法
使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan】将这个请求发送到Fastjson Scan,然后就只需要等待扫描结束🌶
右键菜单中:
![](images/menu.png)
FastjsonScan扫描结果界面:
![](images/result.png)
如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏洞,则会展示原始的请求与响应
> ps: 由于反序列化检测利用了dnslog,所以检测会稍微慢一点,在等待结果期间你还可以继续看其他请求,真的是相当方便呢
### 核心代码
核心代码都在BurpExtender.java中了,检测逻辑很简单,注释也都写了,如果你有其他的需求,完全可以自己修改,直接在IDEA中打开FastjsonScan目录就可以继续创造了
没有合适的资源?快使用搜索试试~ 我知道了~
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
共57个文件
java:42个
xml:5个
png:3个
5星 · 超过95%的资源 需积分: 46 18 下载量 197 浏览量
2021-04-13
12:37:12
上传
评论 1
收藏 339KB ZIP 举报
温馨提示
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
资源推荐
资源详情
资源评论
收起资源包目录
FastjsonScan-master.zip (57个子文件)
FastjsonScan-master
images
json.png 53KB
menu.png 103KB
result.png 94KB
FastjsonScan.jar 28KB
README.md 2KB
FastjsonScan
src
burp
IIntruderAttack.java 826B
IMessageEditorTab.java 4KB
IHttpRequestResponseWithMarkers.java 2KB
IExtensionStateListener.java 976B
IBurpCollaboratorClientContext.java 4KB
IMessageEditorController.java 2KB
IScannerInsertionPoint.java 6KB
ITempFile.java 892B
IResponseInfo.java 2KB
IExtensionHelpers.java 14KB
IProxyListener.java 1KB
IParameter.java 3KB
IScanIssue.java 4KB
IScanQueueItem.java 3KB
IScannerCheck.java 4KB
IHttpRequestResponse.java 3KB
IBurpCollaboratorInteraction.java 1KB
IScopeChangeListener.java 784B
IResponseVariations.java 2KB
IScannerInsertionPointProvider.java 1KB
IHttpRequestResponsePersisted.java 784B
IScannerListener.java 1023B
IIntruderPayloadGeneratorFactory.java 1KB
ISessionHandlingAction.java 2KB
IBurpExtenderCallbacks.java 42KB
IRequestInfo.java 3KB
IResponseKeywords.java 2KB
ITab.java 1KB
IIntruderPayloadProcessor.java 2KB
IInterceptedProxyMessage.java 4KB
IHttpListener.java 1KB
IMessageEditorTabFactory.java 1KB
ICookie.java 2KB
burp.iml 419B
IMenuItemHandler.java 1KB
ITextEditor.java 3KB
IBurpExtender.java 1007B
IContextMenuFactory.java 1KB
BurpExtender.java 16KB
IContextMenuInvocation.java 6KB
IHttpService.java 1016B
IIntruderPayloadGenerator.java 2KB
IMessageEditor.java 3KB
out
artifacts
FastjsonScan_jar
FastjsonScan.jar 28KB
.idea
.gitignore 176B
misc.xml 403B
encodings.xml 159B
artifacts
FastjsonScan_jar.xml 302B
project-template.xml 89B
description.html 97B
modules.xml 264B
FastjsonScan.iml 425B
共 57 条
- 1
资源评论
- 余青葭2023-07-27:使用这个burp插件,我成功地检测到了一些Fastjson反序列化漏洞,它简单易用,对于我这种不太懂代码的人来说真的很友好。
- 型爷2023-07-27:这个文件提供了一个非常实用的burp插件,能够简单而有效地检测Fastjson反序列化漏洞,对于安全工程师来说确实是一件不错的利器。
- 林书尼2023-07-27:对于我来说,这个FastjsonScan插件是一种非常有用的工具,它能够帮助我快速检测出系统中存在的Fastjson反序列化问题,让我能够及时采取措施来修复漏洞。
- 仙夜子2023-07-27:这个FastjsonScan插件虽然简单,但却非常实用,可以帮助我们及时发现和修复Fastjson反序列化漏洞,大大提高了系统的安全性。
- 稚气筱筱2023-07-27:这个FastjsonScan插件确实不错,虽然功能简单,但却能够很好地满足我的需求,对于安全性有要求的系统来说,使用它是一个不错的选择。
远离康斯坦丁
- 粉丝: 27
- 资源: 4664
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功