0x01 工具介绍
本项目 Auth Analyzer Modify 是在原版 Auth Analyzer 插件的基础上进行功能增强与优化的 Burp Suite 扩展。主要用于 Web 应用的越权测试,帮助安全研究人员快速验证不同角色下的访问控制问题。修改版在保留原有核心功能的同时,新增了多维去重、域名黑白名单、URL 展示与批量复制等实用功能,并修复了部分 UI 渲染与数据处理 Bug,进一步提升了越权测试的效率与稳定性。
注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo‘设为星标⭐️‘否则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能简介
✨ 功能简述
我为什么要使用 Auth Analyzer?
-
多维去重优化:同接口同参数自动去重,同接口不同参数自动标记,提升数据可读性。
-
域名黑白名单:支持指定域名范围,精准控制测试目标。
-
完整 URL 展示:筛选结果展示完整 URL,便于分析与记录。
-
批量复制功能:支持一键复制看板中所有 URL,快速导出复用。
-
UI 渲染优化:修复原插件 Swing 界面渲染问题,界面更稳定。
-
灵活参数处理:支持参数自动提取、静态值设置、输入提示及 From-To 区间提取。
-
多场景测试:可用于越权访问、CSRF 校验、CORS 配置及匿名会话等多种安全测试场景。
-
可视化对比:内置 Diff 功能,可实时对比请求与响应,快速定位差异。
-
丰富过滤器:支持按 Scope、文件类型、状态码、方法、路径等维度过滤请求。
-
会话管理:支持会话新建、克隆、续期与配置保存,方便多角色测试。
0x03更新说明
修改多维去重筛选后删除看板数据bug修改同接口不同参数评论ID编号指向筛选后数据添加汉化添加域名黑白名单功能添加展示筛选完整网址添加复制看板中所有url修复原插件Swing UI渲染问题添加多维签名去重优化看板数据0x04 使用介绍
📦开箱即用
自动提取
如果响应中出现以下约束之一,则会提取该参数值:带有 Cookie 名称的响应Set-Cookie Header设置为定义Extract Field Name包含一个HTML Document Response输入字段,其名称属性设置为定义的Extract Field NameAJSON Response包含一个设置为Extract Field Name
默认情况下,Auth Analyzer 会尝试从所有位置自动提取参数值。但是,点击参数设置图标可以根据需要限制自动提取位置。
自动提取会话 Cookie
将用户名和密码定义为static value。会话 Cookie 名称必须定义为auto extract。验证您在未设置会话 Cookie 的情况下开始浏览应用程序。登录 Web 应用。Auth Analyzer 将使用静态参数重复登录请求,并自动通过Set-Cookie标头获取会话。此 Cookie 将用于给定会话的后续请求。定义的 Cookie 将被视为参数,因此无需定义 Cookie 标头。
#artContent h1{font-size:16px;font-weight: 400;}#artContent p img{float:none !important;}#artContent table{width:100% !important;}