BurpSuite AuthMatrix插件安装
Burp Suite BApp Store安装
AuthMatrix可以通过Burp Suite BApp Store安装。在BurpSuite中，选择Extender选项卡，选择BApp Store，选择AuthMatrix，然后单击install。
使用前准备
burp可以使用三种语言编写的扩展插件，java、python和ruby ，除了java外，其他两种需要的扩展插件需要配置运行环境。
python 下载
下载地址：http://www.jython.org/downloads.html

Ruby
下载地址：http://jruby.org/download
配置运行环境
Extender —— Options中配置Python和Ruby的jar文件路径。

手动安装插件
对于手动安装，请下载github下文件到桌面，然后从Burp Suite中选择Extender选项卡，单击Add按钮，将Extension类型更改为Python，然后选择AuthMatrix python文件。

自动安装插件
首先下载一个插件相当于AppStore（Burp Suite BApp Store安装）
https://github.com/bit4woo/reCAPTCHA/releases/tag/v0.9
下载jar就可以了，然后在burp里面找到 安装

安装好以后 如图所示就是这个样子
我们找到商城 我认为的商城 学着寻找我们需要的插件下载安装 看如果你看到jython，上面有教程
这里我们安装一个BurpSuite AuthMatrix插件 安装完成后会在上面显示。
BurpSuite AuthMatrix插件
AuthMatrix 是一个Burp Suite扩展，用于检测权限授权问题，设置好session就能进行自动化测试。相似功能的插件还有：BurpSuite Authz。Authz会先访问一遍接口抓包，然后“Send request(s) to Authz”，设置低权限的cookie，“Run”就会使用低权限的cookie去请求，结果会匹配给出相似度百分比，可以查看每个请求的详细，半自动测试。
总结：AuthMatrixy插件用于越权漏洞的检测，在插件中配置多个不同用户的Cookies，检测各等级账号对页面的访问权限。
下载连接 手工：Github：https://github.com/SecurityInnovation/AuthMatrix
靶场如下：
勾选用户对应的角色
我们在靶场注册2个账号分别发送到插件
提取用户的唯一标识符填入 Session Token（推荐在登陆处抓包，使用 Repeater 构造不同用户的登陆请求获取各自的 cookie，如有多个 cookie 可用分号分隔
在注另一个账户和这个一样步骤

最后如图
在 Repeater 或 Proxy 的 HTTP History 处选择（按住 Control 键可多选）需要检测的 requests 后右键，选择 Send request to AuthMatrix。

如果想检测全部的 requests，直接点最下面的 Run。如果想对单个 request 进行检测，在该 request 上右键选择 Run Request 即可（按 Control 多选同样适用）

run程序会自动将每个 request 里的 cookie 换成之前设置的同名 cookie，当 response 匹配到正则时，会出现红色，反之是绿色（蓝色是 session 过期）。