专为API安全测试设计的Burp Suite扩展,集成15种攻击类型、智能模糊测试、BOLA/IDOR检测及AI辅助能力,全面覆盖OWASP API Top 10。
# BurpAPISecuritySuite
专业级 Burp Suite 扩展,用于全面的 API 侦察、智能模糊测试和 AI 驱动的安全测试。
## 目录
- [BurpAPISecuritySuite](#burpapisecuritysuite)
- [目录](#table-of-contents)
- [截图](#screenshots)
- [主界面](#main-interface)
- [Fuzzer 选项卡](#fuzzer-tab)
- [参数分析](#parameter-analysis)
- [差异视图](#diff-view)
- [Nuclei 选项卡](#nuclei-tab)
- [Katana 选项卡](#katana-tab)
- [HTTPX 选项卡](#httpx-tab)
- [FFUF 选项卡](#ffuf-tab)
- [Wayback 选项卡](#wayback-tab)
- [导出选项](#export-options)
- [Turbo Intruder 导出](#turbo-intruder-export)
- [版本信息](#version-info)
- [目的](#purpose)
- [主要功能](#key-features)
- [🎯 侦察 (Reconnaissance)](#-reconnaissance)
- [⚡ 高级模糊测试](#-advanced-fuzzing)
- [🔍 发现工具](#-discovery-tools)
- [🚀 导出与集成](#-export--integration)
- [与类似工具的比较](#comparison-with-similar-tools)
- [为什么选择 BurpAPISecuritySuite?](#why-choose-burpapisecuritysuite)
- [安装](#installation)
- [要求](#requirements)
- [使用方法](#usage)
- [基本工作流程](#basic-workflow)
- [选项卡概览](#tab-overview)
- [1. Recon 选项卡](#1-recon-tab)
- [2. Diff 选项卡](#2-diff-tab)
- [3. Version Scanner 选项卡](#3-version-scanner-tab)
- [4. Param Miner 选项卡](#4-param-miner-tab)
- [5. Fuzzer 选项卡](#5-fuzzer-tab)
- [6. Nuclei 选项卡](#6-nuclei-tab)
- [7. HTTPX 选项卡](#7-httpx-tab)
- [8. Katana 选项卡](#8-katana-tab)
- [9. FFUF 选项卡](#9-ffuf-tab)
- [10. Wayback 选项卡](#10-wayback-tab)
- [高级模糊测试能力](#advanced-fuzzing-capabilities)
- [检测到的攻击类型](#attack-types-detected)
- [导出的数据结构](#exported-data-structure)
- [数据与导出](#data--export)
- [捕获的内容](#what-gets-captured)
- [每个 Endpoint](#per-endpoint)
- [分析](#analysis)
- [集成](#integration)
- [LLM Prompt 集成](#llm-prompt-integration)
- [工作流示例](#workflow-examples)
- [1. AI 驱动的 Payload 生成](#1-ai-powered-payload-generation)
- [2. Turbo Intruder 竞态条件](#2-turbo-intruder-race-condition)
- [3. 带自动定位的 Burp Intruder](#3-burp-intruder-with-auto-positions)
- [输出位置](#output-locations)
- [最佳实践](#best-practices)
- [侦察阶段](#reconnaissance-phase)
- [模糊测试阶段](#fuzzing-phase)
- [AI 集成](#ai-integration)
- [自动化](#automation)
- [技术信息](#technical-information)
- [技术细节](#technical-details)
- [限制](#limitations)
- [用例](#use-cases)
- [📱 移动 API 测试](#-mobile-api-testing)
- [文档](#documentation)
- [常见问题](#faq)
- [一般问题](#general-questions)
- [性能与限制](#performance--limits)
- [模糊测试与攻击](#fuzzing--attacks)
- [外部工具](#external-tools)
- [导出与集成](#export--integration)
- [故障排除](#troubleshooting)
- [高级用法](#advanced-usage)
- [移动 API 测试](#mobile-api-testing)
- [技术亮点](#technical-highlights)
- [💼 专业服务](#-professional-services)
- [精选项目](#featured-projects)
- [提供的服务](#services-offered)
- [贡献](#contributing)
- [作者](#author)
- [许可证](#license)
- [更新与路线图](#updates--roadmap)
- [近期更新](#recent-updates)
- [v1.0 - 初始发布](#v10---initial-release)
- [路线图](#roadmap)
## 截图
### 主界面
### Fuzzer 选项卡
### 参数分析
### 差异视图
### Nuclei 选项卡
### Katana 选项卡
### HTTPX 选项卡
### FFUF 选项卡
### Wayback 选项卡
### 导出选项
### Turbo Intruder 导出
### 版本信息
## 目的
BurpAPISecuritySuite 是一个完整的 API 安全测试工具包,它可以:
- **捕获并分析** API 流量,并进行智能标准化
- **生成智能模糊测试** 活动,包含 100 多个攻击向量
- **导出为多种格式**,用于 AI、Turbo Intruder 和 Nuclei
- **自动配置 Burp Intruder** 的攻击位置
- **检测漏洞**,覆盖 OWASP API Top 10
## 主要功能
### 🎯 侦察 (Reconnaissance)
- **自动捕获**:自动监控所有 HTTP/Proxy 流量
- **智能标准化**:对相似的端点进行分组(`/users/123` → `/users/{id}`)
- **全面提取**:参数、Header、认证方法、请求/响应体
- **模式检测**:REST, GraphQL, SOAP, JSON/XML API
- **安全分析**:IDOR/BOLA、未授权端点、PII 泄露、弱加密
- **JWT 检测**:自动提取 JWT 并进行安全分析
- **差异对比**:对比两次 API 导出结果以检测变更
- **导入/导出**:保存和恢复捕获的 API 数据
### ⚡ 高级模糊测试
- **15 种攻击类型**:BOLA, IDOR, SQLi, XSS, NoSQLi, SSTI, JWT, GraphQL, 竞态条件, 业务逻辑, WAF 绕过等
- **智能检测**:上下文感知的漏洞识别
- **108+ 攻击向量**:包含绕过技术的综合 Payload 库
- **严重性评级**:严重/高/中/低风险分类
- **WAF 规避**:Header 注入、编码绕过、方法覆盖、路径操纵
### 🔍 发现工具
- **版本扫描器**:测试 API 版本变体(v1, v2, dev, staging, legacy)
- **Param Miner**:发现隐藏参数(admin, debug, internal, callback)
- **Wayback Machine**:发现历史端点和被遗忘的 API
- **Katana Crawler**:深度 Web 爬取,自动发现端点
- **HTTPX Probe**:快速 HTTP 探测与技术检测
- **FFUF Fuzzer**:支持字典的目录和文件模糊测试
### 🚀 导出与集成
- **Burp Intruder**:自动配置攻击位置(§markers§)
- **AI 上下文**:为 ChatGPT/Claude Payload 生成提供的结构化数据
- **Turbo Intruder**:可直接使用的 Python 脚本,用于竞态条件和高频攻击
- **Nuclei**:目标导出和带 WAF 规避的集成扫描
- **Payload 库**:所有攻击 Payload 的 JSON 导出
- **cURL 导出**:将攻击复制为 cURL 命令以便手动测试
## 与类似工具的比较
| 特性 | BurpAPISecuritySuite | Burp Scanner Pro | OWASP ZAP | Postman |
|---------|---------------------|------------------|-----------|----------|
| **价格** | 免费 | $449/年 | 免费 | 免费/付费 |
| **API 专用性** | ✅ 是 | ⚠️ 部分 | ⚠️ 部分 | ✅ 是 |
| **自动捕获与标准化** | ✅ 是 | ❌ 否 | ⚠️ 基础 | ❌ 否 |
| **BOLA/IDOR 检测** | ✅ 自动 | ⚠️ 手动 | ⚠️ 手动 | ❌ 否 |
| **攻击类型** | 15 种 | 100+ (通用) | 50+ (通用) | 有限 |
| **API Payload** | 108+ API 专用 | 通用 Web | 通用 Web | 基础 |
| **JWT 分析** | ✅ 自动 | ⚠️ 需扩展 | ⚠️ 需扩展 | ⚠️ 手动 |
| **GraphQL 测试** | ✅ 内置 | ❌ 否 | ⚠️ 有限 | ⚠️ 手动 |
| **竞态条件测试** | ✅ Turbo Intruder | ✅ Turbo Intruder | ❌ 否 | ❌ 否 |
| **AI 集成** | ✅ 导出给 LLM | ❌ 否 | ❌ 否 | ❌ 否 |
| **版本扫描器** | ✅ 内置 | ❌ 否 | ❌ 否 | ❌ 否 |
| **参数挖掘** | ✅ 内置 | ⚠️ 需扩展 | ❌ 否 | ❌ 否 |
| **Wayback 发现** | ✅ 内置 | ❌ 否 | ❌ 否 | ❌ 否 |
| **外部工具集成** | ✅ Nuclei, HTTPX, Katana, FFUF | ❌ 否 | ⚠️ 有限 | ⚠️ 有限 |
| **WAF 绕过技术** | ✅ 20+ 种 | ⚠️ 部分 | ⚠️ 部分 | ❌ 否 |
| **导出格式** | JSON, Intruder, Turbo, Nuclei, cURL | XML, HTML | XML, HTML, JSON | JSON, cURL |
| **Burp Community 支持** | ✅ 是 | ❌ 仅 Pro | N/A | N/A |
| **学习曲线** | 低 | 中 | 中 | 低 |
| **最适用场景** | API 渗透测试, 漏洞赏金 | 全 Web 应用测试 | DAST 自动化 | API 开发 |
### 为什么选择 BurpAPISecuritySuite?
- **API 优先设计**:专为现代 API 安全测试构建(REST, GraphQL, SOAP)
- **免费开源**:所有功能无需许可费用
- **智能自动化**:跨所有认证端点自动检测 BOLA/IDOR 漏洞
- **AI 驱动**:导出上下文给 ChatGPT/Claude 以生成自定义 Payload
- **全面覆盖**:15 种攻击类型,108+ API 专用 Payload
- **外部工具集成**:无缝集成 Nuclei, HTTPX, Katana, FFUF
- **兼容 Burp Community**:无需昂贵的 Burp Pro 许可证
- **活跃开发**:定期更新新的攻击向量和功能
## 安装
1. Burp → Ext → Extensions → Add → Python
2. 选择:`BurpAPISecuritySuite.py`
3. 扩展加载并自动开始捕获
## 要求
- Burp Suite (Professional 或 Community Edition)
- Jython Standalone JAR (https://www.jython.org/download)
## 使用方法
### 基本工作流程
1. **捕获**:启用自动捕获,浏览/扫描目标 API
2. **审查**:检查 "API Recon" 选项卡以查看捕获的端点
3. **导出**:点击 "Export for LLM" 生成分析 JSON
4. **生成**:将 JSON 提供给 LLM (ChatGPT, Claude 等) 以创建自定义扩展
### 选项卡概览
#### 1. Recon 选项卡
- **自动捕获开关**:启用/禁用自动流量捕获
- **样本限制**:配置每个端点的样本数(1, 3, 5, 10)
- **分页**:浏览大量端点列表(每页 50, 100, 200, 500 条)
- **搜索与过滤**:按主机、方法、严重性、搜索词过滤
- **分组**:按主机、方法、认证、加密对端点分组
- **全部导出**:将完整的 API 分析导出为 JSON
- **导出主机**:导出特定主机的端点
- **导入**:加载之前导出的数据
- **清除数据**:重置所有捕获的端点
#### 2. Diff 选项卡
- **加载导出 1/2**:加载两个 API 导出以进行比较
- **比较**:识别已添加、已删除和未更改的端点
- **复制**:将差异结果复制到剪贴板
#### 3. Version Scanner 选项卡
- **版本输入**:要测试的逗号分隔版本字符串
- **预设**:标准, 十进制, 环境, 旧版, 全部
- **扫描版本**:测试所有 API 端点的版本变体
- **导出结果**:将发现的版本保存到文件
#### 4. Param Miner 选项卡
- **参数输入**:要测试的逗号分隔参数名称
- **预设**:Admin, Debug, Access, Callback, 全部
- **挖掘参数**:发现 API 端点中的隐藏参数
- **导出结果**:保存参数挖掘结果
#### 5. Fuzzer 选项卡
- **攻击类型下拉菜单**:全部, BOLA, IDOR, Auth Bypass, SQLi, XSS, SSRF, XXE, WAF Bypass
- **生成**:创建带有智能攻击检测的模糊测试活动
- **发送到 Intruder**:导出到 Burp Intruder 并预配置位置
- **导出 Payload**:将所有 Payload 保存为 JSON
- **AI Payload**:导出上下文用于 AI 驱动的自定义 Payload 生成
- **Turbo Intruder**:生成用于高速攻击的 Python 脚本
- **复制为 cURL**:将攻击导出为 cURL 命令
#### 6. Nuclei 选项卡
- **Nuclei 路径**:配置 nuclei 二进制文件路径
- **运行 Nuclei**:执行带 WAF 规避的 Nuclei 扫描器
- **导出目标**:保存目标列表用于外部扫描
- **功能**:随机 UA、X-Forwarded-For 伪造、速率限制
#### 7. HTTPX 选项卡
- **HTTPX 路径**:配置 httpx 二进制文件路径
- **探测端点**:带技术检测的快速 HTTP 探测
- **导出 URL**:保存 URL 供外部工具使用
#### 8. Katana 选项卡
- **Katana 路径**:配置 katana 二进制文件路径
- **爬取端点**:用于端点发现的深度 Web 爬取
- **导出发现**:保存发现的端点
- **发送到 Recon**:将发现的端点导入 Recon 选项卡
#### 9. FFUF 选项卡
- **FFUF 路径**:配置 ffuf 二进制文件路径
- **字典**:选择用于模糊测试的字典
- **模糊测试目录**:目录和文件模糊测试
- **导出结果**:保存模糊测试结果
- **发送到 Intruder**:将结果导出到 Burp Intruder
#### 10. Wayback 选项卡
- **日期范围**:配置历史搜索的起始/结束年份
- **限制**:设置最大检索结果数
- **发现**:查询 Wayback Machine 获取历史端点
- **发送到 Recon**:将发现的端点导入 Recon 选项卡
- **导出结果**:保存发现的端点
## 高级模糊测试能力
### 检测到的攻击类型
1. **BOLA (Broken Object Level Authorization)**
- 测试所有认证端点
- 水平/垂直越权
- Token 操纵、批量请求
2. **IDOR (Insecure Direct Object Reference)**
- ID 枚举(数字、UUID、ObjectID)
- 通配符注入、编码绕过
- 参数污染
3. **SQL 注入**
- 布尔型、联合查询型、时间盲注
- 报错型、堆叠查询
- 38+ Payload
4. **XSS (Cross-Site Scripting)**
- 反射型参数利用
- 上下文破坏、Polyglot Payload
- 事件处理器、模板注入
5. **NoSQL 注入**
- MongoDB 操作符 ($gt, $ne, $regex)
- 数组表示法、where 子句注入
6. **JWT 利用**
- 算法混淆 (alg:none)
- kid 注入、Claim 操纵
7. **GraphQL 滥用**
- 内省、批处理、深度攻击
- 别名滥用、Mutation 注入
8. **SSTI (Server-Side Template Injection)**
- Jinja2, Freemarker, Velocity
- RCE Payload
9. **竞态条件**
- TOCTOU 利用
- 并行请求技术
10. **业务逻辑**
- 价格/数量操纵
- 工作流绕过
11. **WAF 绕过**
- Header 注入 (X-Forwarded-For, X-Original-URL)
- 编码绕过 (URL, Unicode, Hex, HTML 实体)
- HTTP 方法覆盖 (X-HTTP-Method-Override)
- 路径操纵 (点编码、空字节、分号)
- Content-Type 操纵
- 协议走私 (CL.TE, TE.CL)
12. **路径遍历**
- 目录遍历 Payload
- 编码路径操纵
- 空字节注入
13. **SSRF (Server-Side Request Forgery)**
- 内部 IP 定向
- 云元数据访问
- DNS 重绑定
14. **XXE (XML External Entity)**
- 文件泄露
- 通过 XXE 进行 SSRF
- 拒绝服务
15. **反序列化**
- Java 反序列化
- PHP 对象注入
- Python pickle 利用
### 导出的数据结构
```
{
"metadata": {
"timestamp": "20240115_143022",
"total_endpoints": 15,
"total_requests": 47
},
"endpoints": [
{
"endpoint": "GET:/api/users/{id}",
"method": "GET",
"normalized_path": "/api/users/{id}",
"host": "api.example.com",
"sample_count": 3,
"parameters": {
"url": ["id"],
"body": [],
"cookie": ["session"],
"json": []
},
"auth_methods": ["Bearer Token"],
"response_codes": [200, 404],
"content_types": ["application/json"],
"api_patterns": ["REST API", "JSON API", "CRUD: GET"],
"sample_requests": [...]
}
],
"api_structure": {
"api_types": ["REST API", "JSON API"],
"http_methods": ["GET", "POST", "PUT", "DELETE"],
"auth_methods": ["Bearer Token", "API Key"],
"base_paths": ["/api/", "/v1/"]
},
"security_observations": [
{
"type": "Potential IDOR/BOLA",
"severity": "Critical",
"count": 5,
"examples": ["GET:/api/users/{id}", "GET:/api/orders/{id}"],
"recommendation": "Implement object-level authorization checks"
},
{
"type": "Unauthenticated Endpoints",
"severity": "High",
"count": 3,
"examples": ["GET:/api/health", "GET:/api/version"]
},
{
"type": "Weak Encryption (Base64)",
"severity": "High",
"count": 2,
"examples": [{"endpoint": "POST:/api/auth", "types": ["Base64"]}],
"recommendation": "Use proper encryption (AES-256, TLS 1.3)"
}
],
"llm_prompt": "# API Red Team Extension Generation\n\n..."
}
```
## 数据与导出
### 捕获的内容
### 每个 Endpoint
- HTTP 方法和标准化路径
- 主机、协议、端口
- 查询字符串和所有参数类型(URL、Body、Cookie、JSON)
- 请求/响应 Header
- 请求/响应体(截断至 5KB)
- 响应状态码
- Content-Type
- 检测到的认证方法
- API 模式(REST, GraphQL, SOAP 等)
### 分析
- API 结构概览(类型、方法、认证、基础路径)
- 安全观察(未授权端点、敏感数据)
- 端点分组和去重
- 每个端点的样本请求
## 集成
### LLM Prompt 集成
导出内容包括一个预格式化的 Prompt,指示 LLM:
1. 分析 API 结构和模式
2. 识别攻击向量(BOLA, Mass Assignment, Rate Limiting 等)
3. 生成自定义 Burp 扩展,实现:
- 用于自动化测试的 IScannerCheck
- 被动和主动扫描方法
- 针对检测到的模式定制的 Payload
- 带严重性评级的清晰报告
## 工作流示例
### 1. AI 驱动的 Payload 生成
```
# 1. 在 Burp 中捕获 API 流量
# 2. 生成 fuzzing 攻击 (Fuzzer 标签页 → Generate)
# 3. 点击 "AI Payloads" 按钮
# 4. 将 ai_context.json 提供给 ChatGPT/Claude:
"Analyze these API endpoints and generate 50 custom payloads for each
vulnerability type. Focus on:
- Context-aware SQLi based on parameter names
- IDOR payloads matching observed ID patterns
- XSS payloads for detected reflection points
- JWT manipulation for the specific auth mechanism"
```
### 2. Turbo Intruder 竞态条件
```
# 1. 生成 fuzzing 攻击
# 2. 点击 "Turbo Intruder" 按钮
# 3. 在 Burp 中:Extensions → Turbo Intruder
# 4. 右键点击目标请求 → Send to Turbo Intruder
# 5. 加载 race_condition.py 脚本
# 6. 执行 50 个并发请求
```
### 3. 带自动定位的 Burp Intruder
```
# 1. 生成 fuzzing 攻击
# 2. 点击 "Send to Intruder"
# 3. Burp Intruder 打开并预配置了 §markers§
# 4. 从导出的 payloads.json 加载 payloads
# 5. 发起攻击
```
### 输出位置
```
~/burp_APIRecon/
├── FullExport_TIMESTAMP/
│ └── api_analysis.json
├── HostExport_HOSTNAME_TIMESTAMP/
│ └── api_analysis.json
├── Payloads_TIMESTAMP/
│ └── payloads.json (idor, sqli, xss, nosqli, ssrf, xxe, ssti, deserialization, waf_bypass)
├── AI_Context_TIMESTAMP/
│ └── ai_context.json (structured data for AI payload generation)
├── TurboIntruder_TIMESTAMP/
│ ├── race_condition.py
│ ├── bola_enum.py
│ └── jwt_brute.py
├── VersionScan_Export_TIMESTAMP/
│ └── version_scan.txt
├── ParamMiner_Export_TIMESTAMP/
│ └── param_mining.txt
└── NucleiTargets_TIMESTAMP/
└── targets.txt
```
### 最佳实践
### 侦察阶段
- **捕获认证流量**:先登录以捕获受保护的端点
- **遍历所有功能**:点击整个应用程序以获得完整覆盖
- **使用多种角色**:以 admin, user, guest 身份捕获流量以进行 BOLA 检测
- **查看统计信息**:检查统计面板中的严重/高/中计数
### 模糊测试阶段
- **从 "All" 开始**:首先生成综合攻击活动
- **关注高风险**:按严重性过滤关键端点
- **验证检测结果**:在发送到 Intruder 之前审查生成的攻击
- **批量测试**:使用 Turbo Intruder 进行竞态条件和高速枚举
### AI 集成
- **尽早导出上下文**:初始捕获后生成 AI 上下文
- **迭代 Payload**:使用 AI 生成的 Payload,测试,优化 Prompt
- **结合技术**:将 AI Payload 与内置 Payload 库合并
### 自动化
- **Nuclei 集成**:运行 Nuclei 进行快速漏洞验证
- **导出目标**:将目标列表用于 ffuf, wfuzz 或自定义脚本
- **CI/CD 集成**:自动化导出以进行回归测试
## 技术信息
### 技术细节
- **标准化**:将数字 ID、UUID、ObjectID 替换为占位符
- **去重**:按方法 + 标准化路径跟踪唯一端点
- **截断**:Body 限制为 5KB,每个端点样本限制为 3 个
- **认证检测**:识别 Bearer, Basic, API Key, Session Cookie
- **模式匹配**:基于正则的 REST, GraphQL, SOAP 检测
### 限制
- 不捕获 WebSocket 流量
- 未完全分析二进制响应
- 大响应被截断(5KB 限制)
- 需要 Jython (Python 2.7 语法)
## 用例
- **API 渗透测试**:使用 108+ 攻击向量进行全面模糊测试
- **漏洞赏金猎取**:自动化 BOLA/IDOR 检测和利用
- **移动 API 测试**:集成 [RedTeamToolkitForAndroid](../RedTeamToolkitForAndroid) 进行完整的移动应用安全评估
- **安全研究**:高级攻击技术(竞态条件, JWT, GraphQL)
- **红队行动**:用于高速攻击的 Turbo Intruder 脚本
- **AI 辅助测试**:使用 ChatGPT/Claude 生成自定义 Payload
- **CI/CD 安全**:导出目标用于自动化回归测试
- **培训与教育**:通过真实示例学习 API 漏洞
### 📱 移动 API 测试
与 **RedTeamToolkitForAndroid** 完美集成,实现全面的移动应用安全:
- 通过 Burp Proxy 捕获 Android 应用 API 流量并绕过 SSL
- 生成 108+ 移动专用攻击向量(BOLA, JWT, GraphQL, 竞态条件)
- AI 编排测试,包含 22+ MCP 服务器
- 完整工作流程:Frida Hooks → 流量捕获 → 模糊测试 → 利用 → 报告
**快速开始**:[移动 API 集成指南](docs/MOBILE-API-INTEGRATION.md) | [快速参考](docs/MOBILE-QUICKSTART.md)
## 文档
- [完整文档索引](docs/DOCUMENTATION-INDEX.md)
- [工作流指南](docs/WORKFLOW.md)
- [工作流图表](docs/WORKFLOW-DIAGRAM.md)
- [移动 API 集成](docs/MOBILE-API-INTEGRATION.md)
- [移动快速入门](docs/MOBILE-QUICKSTART.md)
- [Logger++ 标签参考](docs/loggerpp_tags.md)
## FAQ
### 一般问题
**问:这是否适用于 Burp Suite Community Edition?**
答:是的!所有核心功能都适用于 Community 和 Professional 版本。但是,某些高级 Burp 功能(如 Scanner 集成)需要 Pro 版。
**问:为什么扩展没有捕获流量?**
答:请检查:
- Recon 选项卡中的自动捕获开关已启用
- 你正在通过 Burp 的 Proxy 浏览
- 目标正在发送 HTTP/HTTPS 流量(不支持 WebSockets)
- 检查 Activity Log 是否有任何错误消息
**问:如何安装 Jython?**
答:从 https://www.jython.org/download 下载 Jython Standalone JAR,然后在 Burp 中:Extender → Options → Python Environment → Select File → 选择 jython-standalone-*.jar 文件。
### 性能与限制**问:它能处理多少个端点?**
答:该扩展可以高效处理 500+ 个端点,并在达到限制(800)时自动轮换。较旧的端点会被自动移除。
**问:为什么响应被截断为 5KB?**
答:为了防止大响应导致的内存问题。这对于安全分析来说已经足够,同时保持了性能。
**问:我可以增加每个端点的样本限制吗?**
答:可以,使用 Recon 选项卡中的 "Samples" 下拉菜单(每个端点 1、3、5 或 10 个样本)。
### 模糊测试与攻击
**问:为什么我看不到任何 BOLA/Auth Bypass 攻击?**
答:这些攻击需要经过认证的端点。请确保:
- 先登录应用程序
- 在登录状态下捕获流量
- 查找带有 Bearer Token、API Key 或 Session Cookie 的端点
**问:如何使用生成的攻击?**
答:有三种方式:
1. **Burp Intruder**:点击 "Send to Intruder" 进行自动化测试
2. **Turbo Intruder**:导出脚本用于高速攻击
3. **手动**:使用 "Copy as cURL" 进行命令行测试
**问:"All" 和特定攻击类型有什么区别?**
答:"All" 会跨所有漏洞类型生成综合攻击。特定类型(例如 "SQLi")仅针对该漏洞类别进行测试。
### 外部工具
**问:我需要安装 Nuclei/HTTPX/Katana/FFUF 吗?**
答:仅当您想使用这些特定选项卡时才需要。核心扩展无需它们即可工作。安装地址:
- Nuclei: https://github.com/projectdiscovery/nuclei
- HTTPX: https://github.com/projectdiscovery/httpx
- Katana: https://github.com/projectdiscovery/katana
- FFUF: https://github.com/ffuf/ffuf
**问:我应该把这些工具安装在哪里?**
答:默认路径:
- `~/go/bin/nuclei`
- `~/go/bin/httpx`
- `~/go/bin/katana`
- `~/go/bin/ffuf`
或者在每个选项卡中配置自定义路径。
### 导出与集成
**问:导出的文件保存在哪里?**
答:所有导出都保存到 `~/burp_APIRecon/`,并带有时间戳子目录。请检查 Activity Log 以获取确切路径。
**问:如何使用 AI 上下文导出?**
答:
1. 在 Fuzzer 选项卡中生成模糊测试攻击
2. 点击 "AI Payload" 按钮
3. 将导出的 `ai_context.json` 提供给 ChatGPT/Claude
4. 让它根据您的 API 结构生成自定义 Payload
**问:我可以导入之前导出的数据吗?**
答:可以!使用 Recon 选项卡中的 "Import" 按钮加载任何之前导出的 `api_analysis.json` 文件。
### 故障排除
**问:扩展已加载但未显示在选项卡中?**
答:请检查 Burp 的 Extender → Extensions 选项卡是否有错误。常见问题:
- Jython 配置不正确
- Python 2.7 语法错误(扩展使用 Jython/Python 2.7)
- 内存不足(增加 Burp 的堆大小)
**问:出现 "No endpoints captured" 消息?**
答:请确保:
- 您正在通过 Burp Proxy 主动浏览
- 已启用自动捕获
- 目标正在发出 HTTP 请求(不仅仅是加载静态文件)
- 检查端点是否被过滤(图片/字体会被自动过滤)
**问:Nuclei/HTTPX 扫描挂起或超时?**
答:
- 检查工具是否已安装且路径正确
- 验证到目标的网络连接
- 大型扫描可能需要 5-10 分钟(最大超时:10 分钟)
- 检查 Activity Log 以获取详细的错误消息
**问:为什么某些端点被标记为 "Critical" 或 "High"?**
答:严重性基于:
- **Critical**:Debug/管理端点、未认证的 IDOR/BOLA
- **High**:已认证的 IDOR/BOLA、敏感数据泄露、弱加密
- **Medium**:错误响应、反射参数
- **Info**:标准端点
### 高级用法
**问:如何测试竞态条件?**
答:
1. 生成模糊测试攻击(Fuzzer 选项卡)
2. 点击 "Turbo Intruder" 按钮
3. 在 Burp 的 Turbo Intruder 中加载导出的 `race_condition.py` 脚本
4. 配置 50+ 个并行请求
**问:我可以自定义攻击 Payload 吗?**
答:可以!将 Payload 导出到 JSON,修改它们,然后:
- 在 Burp Intruder 中手动使用
- 提供给 AI 进行增强
- 使用 Payload 库创建自定义脚本
**问:如何比较两个 API 版本?**
答:
1. 从版本 1 导出 API 数据("Export All")
2. 清除数据并捕获版本 2
3. 导出版本 2
4. 使用 Diff 选项卡 → 加载两个导出 → 比较
**问:漏洞赏金猎取的最佳工作流程是什么?**
答:
1. 捕获认证流量(所有用户角色)
2. 首先查看严重/高严重性端点
3. 在 Fuzzer 中生成 "All" 攻击
4. 关注 BOLA/IDOR 端点
5. 使用 Version Scanner 查找旧版 API
6. 在高价值端点上运行 Param Miner
7. 导出到 Nuclei 进行自动验证
### 移动 API 测试
**问:我可以将其用于移动应用测试吗?**
答:可以!非常适合移动 API 测试:
1. 配置移动设备使用 Burp Proxy
2. 在设备上安装 Burp CA 证书
3. 使用 SSL Pinning 绕过(Frida 等)
4. 自动捕获应用流量
5. 参阅 [移动 API 集成指南](docs/MOBILE-API-INTEGRATION.md)
**问:它与 RedTeamToolkitForAndroid 一起工作吗?**
答:是的!它们可以无缝集成:
- RedTeamToolkitForAndroid 处理 SSL 绕过和 Frida Hooks
- BurpAPISecuritySuite 捕获并分析 API 流量
- 完整工作流程:Frida → Burp Proxy → API 分析 → 模糊测试
### 技术亮点
- **清晰的 Jython 架构**:模块化设计,核心逻辑可测试
- **智能检测**:上下文感知的漏洞识别
- **性能优化**:高效处理 500+ 个端点
- **跨平台**:适用于 Windows, macOS, Linux
- **可扩展**:易于添加新的攻击类型和 Payload
- **专业 UI**:颜色编码的严重性、选项卡界面、实时统计
## 💼 专业服务
需要定制安全工具或 API 测试解决方案?我构建生产就绪的应用程序和安全工具。
### 精选项目
- **[TimeSeal](https://timeseal.online)** ([GitHub](https://github.com/Teycir/Timeseal)) - 具有零信任加密的加密时间锁定保险库和死人开关
- **[Ghost Chat](https://ghost-chat.pages.dev)** - 使用 WebRTC 的安全 P2P 聊天,无服务器存储,自毁计时器
- **[BurpCopyIssues](https://github.com/Teycir/BurpCopyIssues)** - 用于浏览、复制和导出扫描结果的 Burp Suite 扩展
- **[BurpWpsScan](https://github.com/Teycir/BurpWpsScan)** - 适用于 Burp Suite 的 WordPress 安全扫描器,集成 WPScan API
- **定制安全工具** - Burp 扩展、API 测试框架、自动化脚本
### 提供的服务
- 🔒 **安全工具开发** - 定制 Burp 扩展、渗透测试工具、自动化框架
- 🚀 **Web 应用开发** - 使用现代技术的全栈开发
- 🔧 **API 安全咨询** - 架构审查、漏洞评估、修复指导
- 🤖 **AI 集成** - LLM 驱动的安全工具、自动化 Payload 生成、智能模糊测试
**联系方式**:[teycirbensoltane.tn](https://teycirbensoltane.tn) | 接受自由职业项目和咨询
## 贡献
### 作者
由 [Teycir Ben Soltane](https://teycirbensoltane.tn) 开发
### 许可证
MIT License - 可免费用于授权的安全测试和研究目的。
## 更新与路线图
### 近期更新
### v1.0 - 初始发布
- ✅ 15 种攻击类型,108+ 向量
- ✅ 针对所有认证端点的 BOLA 专用模糊测试
- ✅ 自动配置的 Burp Intruder 导出
- ✅ 用于自定义 Payload 生成的 AI 上下文导出
- ✅ Turbo Intruder 脚本生成
- ✅ 竞态条件检测和利用
- ✅ JWT, GraphQL, SSTI, 反序列化攻击
- ✅ 业务逻辑测试(价格/数量操纵)
- ✅ WAF 绕过技术(Header 注入、编码、方法覆盖)
- ✅ 带预设的版本扫描器
- ✅ 带智能检测的参数挖掘器
- ✅ 用于 API 变更的差异比较
- ✅ 外部工具集成(Nuclei, HTTPX, Katana, FFUF, Wayback)
- ✅ JWT 自动检测和安全分析
- ✅ 大型端点列表的分页
- ✅ 用于手动测试的 cURL 导出
### 路线图
- [ ] WebSocket 流量捕获
- [ ] 实时 AI Payload 生成(OpenAI/Anthropic API)
- [ ] 成功模式检测(自动验证利用)
- [ ] OpenAPI/Swagger 规范生成
- [ ] 协作数据共享
- [ ] 自定义字典集成
- [ ] 发现结果的 CVSS 评分