Backup哨兵(Backup-SB) 是一款专为 Burp Suite 设计的自动化备份文件扫描插件。能够实时监控 HTTP 流量,智能去重,自动提取域名并进行智能化的备份文件探测。
** 访问官网 ** :https://sbbbb.cn/ 在0xShe工具里寻找Backup哨兵,点击进入后获取解压密码
- 自动监听 Burp Suite 的所有 HTTP/HTTPS 请求
- 智能提取主域名、子域名和 IP 地址
- 支持非标准端口和各种协议
- 零配置,加载即用
- 支持 RAR、ZIP、GZIP、7z、TAR 等多种压缩格式
- 支持 SQL、BAK 等数据库备份文件
- 文件魔数验证,避免误报
- 文件大小检测(最小 10KB)
- 基于 URL 的自动去重
- 同一目标只扫描一次
- HashSet 快速查找
- 提高扫描效率
- 文件名前缀 + 文件后缀 组合方式
- 内置 90+ 常用文件名前缀
- 支持 10 种常见文件后缀
- 用户可自定义并保存配置
- 支持中文文件名
- 配置保存为 INI 文件
- 自动保存在插件同目录
- UTF-8 编码支持中文
- 一键保存,下次自动加载
- 爆破列表:显示扫描编号、URL、状态
- 成功列表:显示发现的文件和大小
- 状态实时更新:扫描中 → 已完成 → SUCCESS!!!
- 一键复制:右键复制、批量导出
- 多线程并发扫描(默认 100 线程)
- ExecutorService 线程池管理
- 原子操作保证线程安全
- 可动态调整线程数和并发数
- 使用 HEAD 请求减少带宽消耗
- 只读取文件头 10 字节验证
- 10 秒智能超时设置
- 禁用 SSL 证书验证(支持自签名证书)
- 禁止自动重定向
- HTTP 状态码验证:仅接受 200 状态
- 文件大小检测:过滤小于 10KB 的文件
- 魔数验证:读取文件头验证真实性
- ZIP:
50 4B(PK) - RAR:
52 61 72 21(Rar!) - GZIP:
1F 8B - 7z:
37 7A BC AF 27 1C - SQL:
2D 2D或2F 2A
- ZIP:
- 三重验证:确保零误报
针对每个目标自动生成专属字典:
- 完整域名变体(如:test.example.com.zip)
- 去点域名(如:testexamplecom.zip)
- 子域名(如:test.zip)
- 主域名(如:example.zip)
- 基础组合:90 × 10 = 900 个文件名
- 域名变体:每个目标额外生成 10+ 个专属字典
- 总计:每个目标约 900-1000 个字典项
本工具仅用于授权的安全测试。使用者需:
- ✅ 获得目标系统的明确授权
- ✅ 遵守相关法律法规
- ✅ 承担使用责任
- ❌ 不得用于非法用途
Backup哨兵 - 让备份文件无处遁形 🔍