AccessContextFuzzer - Burp Suite Extension
Exploit / Project Details
A Burp Suite extension for automated access control bypass, path traversal, and Web Cache Deception testing. Features 40+ header spoofing techniques, smart anomaly detection, and a four-phase WCD exploitation pipeline — lab-proven on official PortSwigger Web Security Academy challenges.
Detailed Write-up
AccessContextFuzzer
AccessContextFuzzer is a Burp Suite extension built on the Montoya API, designed to automate access control testing that would otherwise require tedious manual configuration. Three independent fuzzing engines cover HTTP header manipulation, URL path bypass, and selection-targeted fuzzing — all under a single, unified interface.
Installation
Requirements: Burp Suite 2023.1+ and Java 17+
Download the latest JAR from the GitHub Releases page, then in Burp Suite go to Extensions → Add and select the file. The extension loads automatically and an AccessContextFuzzer tab appears in the toolbar.
Context Menu Integration
Right-click any request in the Proxy or Site Map and select "Send to AccessContextFuzzer" to load it directly into the correct engine tab.
Three Fuzzing Engines
1. Header Bypass
Tests IP spoofing and host manipulation across 40+ header variants including X-Forwarded-For, X-Real-IP, and X-Originating-IP. Targets systems that enforce trusted-IP checks or internal-network access controls.
2. Path/GET Bypass
Applies URL encoding, double encoding, IIS Unicode normalization, case flipping, dot-segment injection, and WCD-specific path techniques. Effective against WAFs and reverse proxies that implement rule-based access control.
3. Selection Fuzz
Focuses fuzzing on a specific text selection within a request, applying various encoding transformations. Supports loading custom wordlists from file for fully customized fuzzing campaigns.
Web Cache Deception Pipeline
Web Cache Deception (WCD) is a class of vulnerability where authenticated pages are cached and served to unauthenticated users, leaking sensitive data. AccessContextFuzzer automates the full attack chain in four phases:
- Delimiter Discovery — Identifies which path delimiters (
;,?,#, etc.) the server recognizes. - Extension Testing — Combines discovered delimiters with static extensions (
.js,.css,.png) to trigger caching behavior. - Normalization Discrepancy — Detects path normalization differences between the origin server and the cache layer.
- Exploit Generation — Synthesizes all findings into a working WCD payload.
Smart Results Analysis
Results are displayed in a color-coded table with automatic anomaly detection — potential bypasses are highlighted in gold:
STATUS_CHANGE— Unexpected HTTP status code deviation from the baselineBODY_DIFF— Content difference detected via MD5 hash comparisonPOTENTIAL BYPASS— Combined indicator of a likely access control bypass
Additional reliability features:
- Automatic baseline re-verification every 50 requests (session drift detection)
- Real-time fuzzing duration estimate via RTT averaging
- Adaptive rate-limit protection with increasing delays on 429/503 responses
Request/Response Viewer
Double-click any result row to open Burp's native HTTP editor with the full request/response pair. Supports Raw, Pretty, Hex, and Render tabs for complete inspection.
OPSEC Verification
A built-in OPSEC verification module confirms your external IP address before testing begins, preventing accidental exposure of your real IP to the target system.
Lab-Proven Effectiveness
AccessContextFuzzer successfully solves official PortSwigger Web Security Academy labs targeting:
- URL rewrite bypass scenarios
- Host header authentication bypasses
- Web Cache Deception exploitation
AccessContextFuzzer
AccessContextFuzzer is a Burp Suite extension built on the Montoya API, designed to automate access control testing that would otherwise require tedious manual configuration. Three independent fuzzing engines cover HTTP header manipulation, URL path bypass, and selection-targeted fuzzing — all under a single, unified interface.
Installation
Requirements: Burp Suite 2023.1+ and Java 17+
Download the latest JAR from the GitHub Releases page, then in Burp Suite go to Extensions → Add and select the file. The extension loads automatically and an AccessContextFuzzer tab appears in the toolbar.
Context Menu Integration
Right-click any request in the Proxy or Site Map and select "Send to AccessContextFuzzer" to load it directly into the correct engine tab.
Three Fuzzing Engines
1. Header Bypass
Tests IP spoofing and host manipulation across 40+ header variants including X-Forwarded-For, X-Real-IP, and X-Originating-IP. Targets systems that enforce trusted-IP checks or internal-network access controls.
2. Path/GET Bypass
Applies URL encoding, double encoding, IIS Unicode normalization, case flipping, dot-segment injection, and WCD-specific path techniques. Effective against WAFs and reverse proxies that implement rule-based access control.
3. Selection Fuzz
Focuses fuzzing on a specific text selection within a request, applying various encoding transformations. Supports loading custom wordlists from file for fully customized fuzzing campaigns.
Web Cache Deception Pipeline
Web Cache Deception (WCD) is a class of vulnerability where authenticated pages are cached and served to unauthenticated users, leaking sensitive data. AccessContextFuzzer automates the full attack chain in four phases:
- Delimiter Discovery — Identifies which path delimiters (
;,?,#, etc.) the server recognizes. - Extension Testing — Combines discovered delimiters with static extensions (
.js,.css,.png) to trigger caching behavior. - Normalization Discrepancy — Detects path normalization differences between the origin server and the cache layer.
- Exploit Generation — Synthesizes all findings into a working WCD payload.
Smart Results Analysis
Results are displayed in a color-coded table with automatic anomaly detection — potential bypasses are highlighted in gold:
STATUS_CHANGE— Unexpected HTTP status code deviation from the baselineBODY_DIFF— Content difference detected via MD5 hash comparisonPOTENTIAL BYPASS— Combined indicator of a likely access control bypass
Additional reliability features:
- Automatic baseline re-verification every 50 requests (session drift detection)
- Real-time fuzzing duration estimate via RTT averaging
- Adaptive rate-limit protection with increasing delays on 429/503 responses
Request/Response Viewer
Double-click any result row to open Burp's native HTTP editor with the full request/response pair. Supports Raw, Pretty, Hex, and Render tabs for complete inspection.
OPSEC Verification
A built-in OPSEC verification module confirms your external IP address before testing begins, preventing accidental exposure of your real IP to the target system.
Lab-Proven Effectiveness
AccessContextFuzzer successfully solves official PortSwigger Web Security Academy labs targeting:
- URL rewrite bypass scenarios
- Host header authentication bypasses
- Web Cache Deception exploitation
AccessContextFuzzer — Proje Detayları
AccessContextFuzzer, Burp Suite'in Montoya API'si üzerine inşa edilmiş, erişim kontrolü testlerini manuel ve yorucu yapılandırmalardan kurtaran bir güvenlik otomasyon aracıdır. Header manipülasyonundan Web Cache Deception saldırılarına kadar geniş bir test yelpazesini tek, birleşik bir arayüz altında sunar.
Kurulum
Gereksinimler: Burp Suite 2023.1+ ve Java 17+
GitHub Releases sayfasından en son JAR dosyasını indirin, ardından Burp Suite'te Extensions → Add menüsünden dosyayı seçin. Eklenti otomatik olarak yüklenir ve araç çubuğunda AccessContextFuzzer sekmesi belirir.
Bağlam Menüsü Entegrasyonu
Proxy veya Site Map üzerindeki herhangi bir isteğe sağ tıklayarak "Send to AccessContextFuzzer" seçeneğiyle testi anında başlatabilirsiniz. İstek otomatik olarak ilgili sekmeye yüklenir.
Üç Fuzzing Motoru
1. Header Bypass
X-Forwarded-For, X-Real-IP, X-Originating-IP dahil 40'tan fazla başlık varyantını otomatik olarak deneyerek IP spoofing ve host manipülasyonunu test eder. Özellikle güvenilir IP veya iç ağ kontrolü uygulayan sistemlerdeki bypass senaryolarına yönelik tasarlanmıştır.
2. Path/GET Bypass
URL kodlaması, çift kodlama, IIS Unicode normalizasyonu, büyük/küçük harf manipülasyonu, nokta-segment enjeksiyonu ve WCD'ye özgü yol tekniklerini test eder. Kural tabanlı erişim kontrolü uygulayan WAF ve reverse proxy'lere karşı özellikle etkilidir.
3. Selection Fuzz
İstek içindeki belirli bir metin seçimine odaklanarak çeşitli kodlama dönüşümleri uygular. Dosyadan özel wordlist yükleme desteği sayesinde tamamen özelleştirilmiş fuzzing kampanyaları oluşturulabilir.
Web Cache Deception Pipeline
Web Cache Deception (WCD), kimlik doğrulama gerektiren sayfaların cache'e alınmasına neden olarak hassas verilerin yetkisiz kullanıcılara sunulduğu kritik bir güvenlik açığı sınıfıdır. AccessContextFuzzer bu saldırı zincirini dört aşamada otomatikleştirir:
- Sınırlayıcı Keşfi — Sunucunun hangi yol sınırlayıcıları (
;,?,#vb.) tanıdığını belirler. - Uzantı Testi — Keşfedilen sınırlayıcılarla birlikte
.js,.css,.pnggibi statik uzantılar denenerek önbellekleme davranışı tetiklenir. - Normalizasyon Tutarsızlığı — Kaynak sunucu ile cache katmanı arasındaki yol normalizasyon farklılıkları tespit edilir.
- İstismar Üretimi — Tüm bulgular birleştirilerek çalışan bir WCD payload'ı sentezlenir.
Akıllı Sonuç Analizi
Sonuçlar renk kodlu bir tabloda sunulur; potansiyel bypass'lar otomatik olarak altın sarısıyla vurgulanır:
STATUS_CHANGE— Baseline'dan beklenmedik HTTP durum kodu sapmasıBODY_DIFF— MD5 hash karşılaştırmasıyla tespit edilen içerik farkıPOTENTIAL BYPASS— Erişim kontrolü bypass'ı işaret eden birleşik gösterge
Ek güvenilirlik özellikleri:
- Her 50 istekte otomatik baseline yenilemesi (oturum kayması tespiti)
- RTT ortalamasıyla gerçek zamanlı süre tahmini
- 429/503 yanıtlarında gecikmeli uyarlamalı rate-limit koruması
İstek/Yanıt Görüntüleyici
Sonuç tablosundaki herhangi bir satıra çift tıklandığında Burp'ün yerel HTTP editörleri açılır. Raw, Pretty, Hex ve Render sekmeleri üzerinden tam istek/yanıt analizi gerçekleştirilebilir.
OPSEC Doğrulama
Test başlamadan önce genel IP adresinizi doğrulayan yerleşik OPSEC kontrol modülü, gerçek IP'nizin hedef sisteme yanlışlıkla sızdırılmasını önler.
Lab Kanıtlı Etkinlik
AccessContextFuzzer, resmi PortSwigger Web Security Academy laboratuvarlarını başarıyla çözmektedir:
- URL yeniden yazma bypass senaryoları
- Host header kimlik doğrulama bypass'ları
- Web Cache Deception istismarı