CaA是一款网络安全(漏洞挖掘)领域下的辅助型项目,主要用于分析、拆解HTTP协议报文,提取HTTP协议报文中的参数、路径、文件、参数值等信息,并统计出现的频次,帮助用户构建出具有实战应用价值的Fuzzing字典。除此之外CaA可以生成各类HTTP请求提供给BurpSuite Intruder用于Fuzzing工作。
CaA的设计思想来源于Web Fuzzing技术,皆在帮助用户发现隐藏的漏洞面,通过对信息的收集分析整理,让用户真正意义上的实现数据挖掘。
思路来源:
所获荣誉:
注意事项:
- CaA采用
Montoya API进行开发,需要满足BurpSuite版本(>=2023.12.1)才能使用。
插件装载: Extender - Extensions - Add - Select File - Next
初次装载CaA会自动创建配置文件Config.json和数据库文件CaA.db:
- Linux/Mac用户的配置文件目录:
~/.config/CaA/ - Windows用户的配置文件目录:
%USERPROFILE%/.config/CaA/
除此之外,您也可以选择将配置文件存放在CaA Jar包的同级目录下的/.config/CaA/中,以便于离线携带。
你可以很方便的在CollectInfo中右键选择RAW、JSON、XML类型的参数值进行复制,用于对请求的测试。
收集的信息类型:
- GET、POST正常形式参数和值;
- Cookie名和值;
- POST(JSON、Multipart、XML)参数和值;
- 逐层路径、文件和完整路径。
生成的Payload信息:
- GET请求;
- POST请求;
- POST With JSON请求;
- POST With XML请求;
- POST With Multipart请求;
- 目录逐层遍历请求。
| 界面名称 | 界面展示 |
|---|---|
| Databoard(数据集合) |  |
| Config(配置管理) |  |
| Generator(字典生成) |  |
| CollectInfo(数据展示) |  |
如果你觉得CaA好用,可以打赏一下作者,给作者持续更新下去的动力!
