文章总结： 这篇文章介绍了两个自动化渗透测试工具：URLReplayer是一个Burp插件，用于监听和测试接口，快速验证未授权漏洞；Parsing是Chrome插件，利用AI分析JS代码，进行信息收集和网络监控。这两个工具可以显著提升渗透测试效率，特别适合Web安全测试场景。文章提供了详细的安装和使用说明，包括配置API密钥和白名单域名等操作步骤。 综合评分： 89 文章分类： 渗透测试,安全工具,WEB安全,代码审计,漏洞分析

自动化渗透利器：URLReplayer × Parsing，一键发现与解读接口

原创

咸鱼

白夜无声

2025年11月12日 09:02 重庆

URLReplayer

URLReplayer是一个burp插件，用于监听匹配所有响应中的接口，拼接来源地址，提供一键发送请求的功能，用于快速验证未授权漏洞，自动识别请求类型，不再需要从各种插件中复制接口到intruder中遍历爆破

使用方法

下载URLReplayer.py，在burp中添加extensions

默认开启监听，shift可选中多个要测试的url，点击send。未配置请求头即默认来源的请求头包含cookie，右侧的请求列表右键可发送到repeater

1028更新

新增搜索功能、自定义请求头

下方配置白名单地址

自定义请求头

Parsing

Parsing 是一个 Chrome 插件，选择ai分析当前页面的Js代码，内置提示词，不再需要单拎js。以及信息收集功能，提升渗透测试效率

AI 代码审计引擎：利用多种AI大模型（Gemini, GPT-4o等）一键分析JS代码，挖掘API等。

资产与信息收集：自动扫描网页HTML和JS，提取API、IP、域名、密钥等敏感资产和技术指纹等。

网络逆向与监控：实时记录所有网络请求和JS加载，并能快速定位API在哪个脚本文件中定义。

一键未授权测试：提供一键未授权访问测试和批量主机存活探测功能。

Source Map 工具：自动检查并帮助加载、查看JS文件的Source Map，辅助代码分析。

安装使用

下载压缩包后解压，在chrome加载未打包的扩展程序。

打开插件在设置页面配置apikey、白名单域名。

接入jsmap_Inspector

当前请求

js分析

信息收集

Js列表

AI记录

发包器

子域名收集

地址：

https[]//github[]com/w-sega/Parsing

https[]//github[]com/w-sega/Burp_URLReplayer