secretsifter/secretsifter-burp
GitHub: secretsifter/secretsifter-burp
一款 Burp Suite 扩展,通过被动扫描和主动批量检测发现 HTTP 流量中泄露的 API 密钥、凭证、JWT 及个人身份信息,内置 160 余条检测规则并支持自定义扩展。
Stars: 34 | Forks: 14
# SecretSifter — Burp Suite 扩展
一款用于 Burp Suite 的被动和主动密钥检测扩展(Montoya API 版)。
检测 HTTP 流量中暴露的 API 密钥、凭证、个人身份信息 (PII)、JWT 以及连接字符串。
## 截图
| 仪表盘 — 问题活动 | 批量扫描选项卡及实时结果 |
|---|---|
|  |  |
| HTML 报告 | 设置选项卡 |
|---|---|
|  |  |
| 右键重新扫描 | 自定义规则 — raw 模式切换 |
|---|---|
|  |  |
## 功能特性
| 功能 | 详情 |
|---|---|
| **被动扫描** | 在每个代理响应上自动触发;同时也会在加载时扫描现有的站点地图 |
| **100+ 锚定 token 规则** | 涵盖 GitHub, GitLab, AWS, Stripe, OpenAI, Slack, Shopify, Azure, GCP, Docker Hub, Clerk 等 |
| **40+ 上下文门控规则** | 涵盖 Algolia, Cloudflare, Zendesk, Heroku, Datadog, Salesforce, Mistral, Cohere, Auth0, Supabase 等 |
| **请求头扫描** | 检测自定义请求头中的凭证(例如 `App_key`, `Resource`, `Ocp-Apim-Subscription-Key`) |
| **通用键值对及高熵扫描器** | 通过关键字 + 熵启发式算法捕获未知的密钥 |
| **PII 检测** | 社会安全号码 (SSN)、信用卡号 (经 Luhn 算法验证)、包含凭证的 URL |
| **批量扫描选项卡** | 粘贴/导入 URL 列表;跟踪 `