burp插件Authz与HaE

Authz插件

Authz可通过burp中BApp Store进行下载

用来检测未授权漏洞，选择数据包

将需要进行测试的数据发送到Authz模块中，在此处Cookie中随便输入，就会携带你输入的cookie去访问目标，点击run进行测试，如果返回的数字一样就存在未授权访问

因为我们这里的url是随便找的，登录与不登录都能访问，所以这里返回的数字是一样的，此处是不存在未授权访问的

HaE插件

对HTTP history中的数据进行正侧匹配，将匹配到的数据包更改颜色

此插件可通过github下载：地址

下载导入后会在用户根目录HaE文件下生成一个Config.yml文件，此文件为规则库，内容对应着该插件的匹配规则以及颜色设置，可修改Config.yml对它的规则进行添加与更改

也可以直接在burp中进行添加匹配规则

对规则库Config.yml文件进行添加规则后，对网址进行访问，HTTP history会将匹配到的数据进行颜色标注

规则库：地址
复制下来直接对Config.yml更改即可

Authz插件与HaE插件一起使用

点击

勾选只显示标注的数据包

ctrl+a全选，将所有标注的数据包选中发送到Authz中run进行测试