文章总结： S-APICONT是适配Vue/React等前端框架的BurpSuite插件，能自动监听流量并解析动态路由批量捕获API。其内置敏感信息检测引擎，可识别密钥等高危数据，支持批量测试及敏感接口识别。新版增加了HaE规则同步及分页功能。建议清理缓存后使用小白模式或高级自定义模式，有效提升Web安全测试效率。 综合评分： 80 文章分类： 安全工具,WEB安全

自动捕获 API + 敏感信息检测插件，适配 Vue/React！前端框架 API 自动解析|S-APICONT更新

qazwsx5293870 qazwsx5293870

渗透安全HackTwo

2026年1月29日 00:01 广东

0x01 工具介绍

在 Web 安全测试中，API 接口的收集与漏洞挖掘往往耗费大量时间 —— 手动扒取接口效率低下，前端框架（Vue/React/Angular）的动态路由更易导致接口遗漏，敏感信息隐藏在响应中难以察觉。一款适配主流前端框架的 API 安全测试插件应运而生！它能自动监听浏览器流量，智能解析动态路由，批量捕获 API 接口无需手动干预；同时内置敏感信息检测引擎，精准识别密钥、Token、身份证号等高危数据并高亮标注。无论是小白想要一键自动化测试，还是专业研究员需要自定义测试流程，这款工具都能完美适配。无需复杂配置，浏览器逛一圈即可完成 API 收集与初步检测，让你告别繁琐操作，聚焦核心漏洞挖掘，大幅提升 Web 安全测试效率！

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能简介

✨ 主要特性

📡 智能 API 收集

• 自动监听浏览器流量，实时提取 API 接口
• 支持 Vue/React/Angular 等主流框架路由解析
• 智能识别一级路由变量，自动拼接完整路径
• 从 JS/HTML/JSON 等前端资源文件中提取 API

🧪 批量测试

• 一键批量访问所有发现的 API
• 可配置请求间隔，避免触发 WAF
• 支持 GET/POST/PUT/DELETE/PATCH 等多种 HTTP 方法
• 测试范围选择：只测未测试的 / 全部重新测试
• 提取范围选择：提取全部 / 只提取新增

🔐 敏感信息检测

自动识别响应中的敏感数据：

• 高危

  私钥、密码字段、Secret Key、AWS Key、阿里云 Key、身份证号

• 中危

  JWT Token、API Key、Access Token、银行卡号

• 低危

  手机号、邮箱、内网 IP 地址

🛡️ 敏感接口识别

自动识别可能对服务器造成影响的敏感接口：

• 删除操作

  delete、remove、drop、truncate、destroy、erase、purge

• 添加操作

  create、insert、save、submit、upload、import、write

• 修改操作

  update、modify、edit、alter、patch、replace、overwrite

敏感接口会被单独列出，需要手动确认后才能测试，避免误操作

0x03更新说明

添加新功能高级自定义：HaE规则同步功能 • 高级自定义：API列表按主机存储 • 高级自定义：自定义API标签页修复功能高级自定义：主机切换时API列表同步 • 高级自定义：批量替换测试目标主机同步 • 解放双手：HaE规则同步问题优化功能高级自定义：API列表分页显示（绝对/相对/自定义） • 高级自定义：敏感信息高亮显示 • 解放双手：数据收集与显示分离

0x04 使用介绍

📦使用指南

方式：直接安装（推荐）

1. 下载 S-APICONT内测V1.5.jar
2. 打开 Burp Suite → Extensions → Add
3. Extension Type 选择 Java
4. 选择下载的 JAR 文件
5. 点击 Next 完成安装

解放双手模式（推荐新手使用）

1. 清理浏览器缓存（重要！）

• 在浏览器中清除目标网站的缓存
• 这样才能确保插件捕获到所有 JS/HTML 资源

1. 启动监控

• 切换到”解放双手(小白专属)”标签页
• 点击”▶ 解放双手”按钮开始监控

1. 浏览目标网站

• 在浏览器中访问目标网站
• 插件会自动收集和测试 API

1. 查看结果

• 发现的 API 会自动显示在表格中
• 敏感接口会单独列出，需手动测试
• 点击任意行查看请求/响应详情

高级自定义模式

1. 设置目标主机

• 切换到”高级自定义”标签页
• 从下拉框选择目标主机或点击”刷新”

1. 提取 API

• 选择提取范围（提取全部 / 只提取新增）
• 点击”提取 API”按钮

1. 测试接口

• 选择测试范围（只测未测试的 / 全部重新测试）
• 设置请求间隔（避免触发 WAF）
• 点击”测试接口”按钮

1. 批量替换测试

• 切换到”批量替换测试”标签页
• 在请求模板中使用 § 标记替换位置
• 点击”开始测试”进行批量测试

#

0x05 内部VIP星球介绍-V1.4（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5094+)，包含全网一些付费扫描工具及内部原创的Burpsuite自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Zoomeye/Quake/Fofa高级会员，CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2400+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/lFN5j

👉点击了解加入–>>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260129获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.4（AI自动化工具）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2025.12专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo qazwsx5293870 qazwsx5293870《自动捕获 API + 敏感信息检测插件，适配 Vue/React！前端框架 API 自动解析|S-APICONT更新》