Introduction

BurpSuite的功能已经非常强大，这个插件产生的缘由是在一些场景下需要静默的去收集信息分析攻击面，便产生了这个插件，目标是不主动发送除正常请求外的任何一个请求包。它不会准确的发现并验证漏洞，但是会极大的辅助你挖掘漏洞。

介绍

Hello, Attack Surface Scan The Real Passive Scan, It's like a submarine.

BurpSuite完全被动扫描插件，不主动发送任何请求，适合挂机使用。

功能

1. 从JS文件中发现API、SubDomain或其它信息.
2. 从JS文件中发现AccessKey/SecretKey.
3. IDOR越权参数点发现.
4. 响应值中敏感数据发现，例如手机号.
5. SSRF等漏洞触发点发现.
6. 流量转存Sqlite数据库.
7. Not to stay up ...

开发

插件采用插件化的架构，可以方便的进行新增功能。

使用

导入依赖包 https://github.com/langu-xyz/ASScan/blob/main/resources/sqlite-jdbc-3.7.2.jar

加载插件

查看扫描结果

流量日志存储相关

Workflow

Enjoy your hacking life.

参考

https://github.com/righettod/log-requests-to-sqlite