Home

Awesome

BypassPro

一个自动化 bypass 403/auth 的 Burpsuite 插件,重构自:AutoBypass403-BurpSuite

申明:该工具只用于安全自测,禁止用于非法用途

Note

Changelog

How to Run

以 PortSwigger Lab 为例:https://portswigger.net/web-security/access-control/lab-url-based-access-control-can-be-circumvented

img

  1. 解压缩后在 Burp Extensions 中加载 BypassPro.jar

img

  1. 选择目标请求,右键点击 "Send to BypassPro”

img

支持多目标请求扫描:

img

  1. 选择 BypassPro 标签页,查看结果

    支持响应内容相似度匹配(from @pmiaowu HostCollision); 如果返回结果相似度很高,则不展示

img

Fuzz Rules

<img src="./README.assets/5.png" width="360" height="515">

Custom rules

修改 BypassPro.jar 所在目录下 resources/config.yml 内容,可添加自定义扫描规则

PS:修改配置文件后,需要重载 BypassPro 插件,才能使新配置生效

<img src="./README.assets/6.png" width="500" height="600">

Thanks