夜雨聆风
Burp插件:全自动API接口挖掘与测试利器
Burp插件:全自动API接口挖掘与测试利器
⚠️
请勿利用文章内的相关技术从事非法渗透测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具和内容均来自网络,仅做学习和记录使用,安全性自测,如有侵权请联系删除。
⚠️注意:现在只对常读和星标的公众号才展示大图推送,建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦!
💡项目地址在文章底部哦!
📖 项目/工具简介
API剑 是一款 Burp Suite 插件化 API 挖掘工具,全自动深度收集 HTTP 响应中的 API 接口与 JS 文件,通过递归请求与防环路设计实现 零手动 的接口资产测绘,适用于 Web 渗透测试与赏金漏洞挖掘场景。
🚀 一句话优势
基于 Burp 流量生态 实现被动+主动双重采集,解决传统 JS 工具与浏览器脱离、无法实时联动测试的痛点。
📋 核心能力速览
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
📸 运行截图
✨ 核心亮点
1. 所见即所得的联动设计
API剑将提取的 API 与来源 JS 文件 成对展示 在 Burp 界面中。点击任意 API 即可在右侧查看其来源 JS 的完整响应,Ctrl+R 一键发送至 Repeater 进行测试。这种设计消除了传统工具”导出-复制-粘贴”的割裂感,让接口发现与漏洞验证在同一窗口完成。
2. 智能递归与防环路
插件不仅从初始响应中提取链接,还会 主动请求 JS 文件并继续解析 其中的新 API,形成递归采集。内置的 防环路机制 通过哈希去重与深度限制,确保不会因循环引用导致无限请求。用户只需在浏览器中正常点击功能,后台自动完成深度资产测绘。
3. 生产级稳定性设计
针对企业测试场景,API剑提供 紧急刹车按钮(立即停止所有请求)与 危险接口过滤(包含特定字符串则跳过)。支持自定义请求速率、线程数控制,以及可选的 无 Cookie 模式 专门测试未授权接口。所有配置与 Scope 范围支持持久化保存,重启后自动恢复。
🛠️ 技术优势
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
📖 使用指南
① 准备工作(安装与配置)
下载 JAR 包从 Release 安装至 Burp 2024.7+ 版本。进入 Settings 配置 Scope 范围(建议精确到目标域名避免扫到外站),根据需求开启 无 Cookie 模式 或调整线程数
② 核心操作(启动采集)
确保浏览器流量经过 Burp,在目标网站进行 正常功能点击(无需刻意寻找 JS)。API剑自动在后台提取响应中的 API 与 JS,递归请求新发现的链接。通过 主动请求速率 参数控制请求间隔,避免触发风控
③ 结果查看(分析与测试)
在 API剑的 Sitemap 面板查看采集结果,关注 Method + Path + 来源JS 三列信息。对感兴趣接口点击 Send to Repeater,或在 Target 模块查看自动添加的站点地图。使用 过滤器 快速定位特定路径或响应码的接口
📖 项目地址
https://github.com/Sugobet/API_Sword💻 技术交流与学习
如果师傅们想要第一时间获取到最新的威胁情报,可以添加下面我创建的钉钉漏洞威胁情报群,便于师傅们可以及时获取最新的IOC。
如果师傅们想要获取网络安全相关知识内容,可以添加下面我创建的网络安全全栈知识库,便于师傅们的学习和使用:覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等 方向,内容还在持续整理中……。
 |
 |
|---|---|
 |
 |
推荐阅读
✦ ✦ ✦
✦ ✦ ✦
