聲明：該文章來自（FreeBuf）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

Blinks是一款針對Burp Suite Pro的安全掃描增強(qiáng)工具，廣大研究人員可以利用該工具增強(qiáng)Burp Suite Pro的安全掃描能力。

Blinks 是一款功能強(qiáng)大的 Burp Suite 擴(kuò)展，可自動使用 Burp Suite Pro 進(jìn)行主動掃描并增強(qiáng)其功能。通過集成 webhook，此工具會在發(fā)現(xiàn)新問題時(shí)直接向你的首選端點(diǎn)發(fā)送實(shí)時(shí)更新，無需再等待最終報(bào)告。

功能介紹

1、Blinks以無 Blinks 模式運(yùn)行 Burp Suite 掃描，無需圖形用戶界面 (GUI) 即可實(shí)現(xiàn)自動化。這使其成為集成到管道或遠(yuǎn)程服務(wù)器的理想選擇。

2、單個(gè) URL 處理：輕松掃描單個(gè)目標(biāo) URL。

3、批量 URL 處理：提供包含多個(gè) URL 的文件，Blinks 將按順序處理每個(gè) URL，從而高效進(jìn)行大規(guī)模評估。

4、HTML 報(bào)告：易于閱讀的格式，方便人工審閱。

5、XML 報(bào)告：用于機(jī)器處理或進(jìn)一步分析的結(jié)構(gòu)化格式。

6、Webhook 集成以實(shí)現(xiàn)實(shí)時(shí)通知： Blinks支持 Webhook 集成，允許你將掃描結(jié)果直接發(fā)送到指定的 URL。此功能對于實(shí)時(shí)監(jiān)控和與警報(bào)系統(tǒng)的集成特別有用。

7、僅抓取模式：如果你只需要繪制 Web 應(yīng)用程序的結(jié)構(gòu)，而無需執(zhí)行完整的安全掃描，則可以使用僅抓取模式。這將掃描限制為發(fā)現(xiàn) URL 和資源。

8、SOCKS5 代理支持為了增強(qiáng)掃描期間的安全性，特別是在需要 VPN 連接的環(huán)境中，Blinks支持以 SOCKS5 代理運(yùn)行l(wèi)ocalhost:9090。

9、靈活的配置 Blinks提供了一個(gè)基于 JSON 的配置文件（config.json），允許你自定義掃描的各個(gè)方面。

工具要求

burp==1.27

httpx==0.27.0

工具安裝

由于該工具基于Python 3開發(fā)，因此我們首先需要在本地設(shè)備上安裝并配置好最新版本的Python 3環(huán)境。

接下來，廣大研究人員可以直接使用下列命令將該項(xiàng)目源碼克隆至本地：

git?clone?https://github.com/0xAnuj/Blinks.git

然后切換到項(xiàng)目目錄中，使用pip命令和項(xiàng)目提供的requirements.txt安裝該工具所需的其他依賴組件：

cd?Blinks pip?install?-r?requirements.txt

工具使用

工具配置

在config.json中添加 Burp Suite Pro JAR 文件和 Jython.jar 文件的路徑：

{ ????"initialURL":?{ ????????"url":?"https://example.com", ????????"host":?"example.com", ????????"port":?443, ????????"protocol":?"https" ????}, ????"webhookurl":?null, ????"crawlonly":?null, ????"proxyonly":?null, ????"reporttype":?"HTML", ????"userAgent":?"Mozilla/5.0?(Windows?NT?10.0;?Win64;?x64)?AppleWebKit/537.36?(KHTML,?like?Gecko)?Chrome/58.0.3029.110?Safari/537.3", ????"headers":?[], ????"staticFileExt":?[ ????????"css", ????????"js", ????????"png", ????????"jpg", ????????"jpeg", ????????"gif", ????????"svg" ????], ????"exclusions":?[ ????????"/exclude-this-path", ????????"/another-exclude-path" ????], ????"BurpPath":?"BURP?PATH?HERE",???<---?Add?Burp.jar?file?path ????"jythonPath":?"JYTHON?PATH?HERE"???<---?Add?Jython.jar?file?path }

運(yùn)行 Blinks

Usage:?python3?run.py?-u?https://example.com?-r?HTML?-w?https://webhook.url/endpoint Arguments: ? -h,?--help:顯示此幫助消息并退出; -u,?--url:要處理的單個(gè)?URL; -f,?--file:包含要處理的?URL?的文件; -w,?--webhook:Webhook?URL（默認(rèn)值：NULL）; -r,?--reporttype:報(bào)告類型（HTML?或?XML）; --header:要添加到請求中的自定義標(biāo)頭/cookie（格式：HeaderName:HeaderValue），重復(fù)使用多個(gè)Header的參數(shù); --crawlonly:僅執(zhí)行抓取掃描，它將保存所有抓取的請求在?./data/?下; --socks5:在?localhost:9090?上使用?socks5?進(jìn)行?VPN;

使用單個(gè) URL 和 XML 報(bào)告運(yùn)行

$?python3?run.py?-u?https://example.com?-r?XML

使用帶有 webhook 的 URL 列表運(yùn)行

$?python3?run.py?-f?./targets.txt?-r?XML?-w?https://webhook.url/endpoint

使用帶有 webhook 和多個(gè)標(biāo)頭的 URL 列表運(yùn)行

$?python3?run.py?-f?./targets.txt?-r?XML?-w?https://webhook.url/endpoint?--header?"Cookie:session=value"?--header?"Authorization:?Basic?test"

以僅爬取模式運(yùn)行

$?python3?run.py?-f?./targets.txt?-r?XML?-w?https://webhook.url/endpoint?--crawlonly

增加功能擴(kuò)展

可以通過修改./burpconfig/userconfig.json來附加更多 Burp 擴(kuò)展。例如：

<SNIP> "extender":?{ ????"extensions":?[ ????????{ ????????????"errors":?"console", ????????????"extension_file":?"EXTENSION_PATH", ????????????"extension_type":?"python/java/ruby", ????????????"loaded":?true, ????????????"name":?"Extension?Name", ????????????"output":?"ui" ????????} ????] } <SNIP>

此配置允許你加載和管理多個(gè) Burp 擴(kuò)展，每個(gè)擴(kuò)展都由其文件路徑、類型和其他屬性定義。只需根據(jù)需要編輯 extension_file 路徑和其他字段即可加載其他擴(kuò)展。

許可證協(xié)議

本項(xiàng)目的開發(fā)與發(fā)布遵循AGPL-3.0開源許可協(xié)議。

項(xiàng)目地址

Blinks：https://github.com/0xAnuj/Blinks

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/