文章总结： 本文推荐BurpSuite插件API剑，该工具通过深度递归分析HTTP响应自动提取API及JS文件，具备防环路与主动请求功能，辅助快速定位接口参数与来源，大幅提升渗透测试中资产收集效率。 综合评分： 62 文章分类： 渗透测试,安全工具,WEB安全,SRC活动

工具推荐 | API剑 – 全自动深度 收集各种响应中的API接口

星夜AI安全 星夜AI安全

星夜AI安全

2026年2月5日 09:31 吉林

📌各位可以将公众号设为星标⭐

📌这样就不会错过每期的推荐内容啦~

📌这对我真的很重要！

📌1. 本平台分享的安全知识和工具信息源于公开资料及专业交流，仅供个人学习提升安全意识、了解防护手段，禁止用于任何违法活动，否则使用者自行承担法律后果。

📌2. 所分享内容及工具虽具普遍性，但因场景、版本、系统等因素，无法保证完全适用，使用者要自行承担知识运用不当、工具使用故障带来的损失。

📌3. 使用者在学习操作过程中务必遵守法规道德，面对有风险环节需谨慎预估后果、做好防护，若未谨慎操作引发信息泄露、设备损坏等不良后果，责任自负。

背景介绍

这个插件融合了我近期的工作内容以及过去在微软账户漏洞 API 方面获取 4 万美金赏金的部分经验。

API 剑的开发者已多次利用该工具在项目中取得成果并发现通用 0day。自从拥有了这个工具，我再也不需要手动从任何 JavaScript 文件中费力地查找接口、路径或参数。

插件主界面截图如下：

主要功能

API 剑能够自动防止环路问题。它从各种响应中提取指定范围内的 API 和 JS 文件，然后递归进行深度提取，并对有价值的 API、JS 等文件发起主动请求。

API 结果所见即所得，右侧窗口会显示 API 的来源 JS 文件，方便您立即从 JS 中获取 API 的参数信息，随后通过 Burp 的 Ctrl + R 快捷键快速进行测试。

它并不像想象中那么复杂，API 剑的核心作用是大幅减少我们在搜寻 JS、API 及 API 参数时重复、耗时且枯燥的工作量。

1. API 剑捕获流经 Burp 指定范围的流量，并从 HTTP 响应中提取绝大多数链接。
2. API 剑会对上一步提取的所有链接和路径进行清洗，经过判断后，对 API、JS 等文件发起 GET 或 POST 请求。
3. API 剑对上一步主动请求的响应进行进一步处理，继续从中提取信息，并重复上一步的操作。API 剑具备防环路功能，无需担心死循环请求的问题。
4. API 剑将所有符合条件的 API 请求、响应以及该 API 接口来源的 JS 文件响应，全部推送至 API 剑的 Burp GUI 界面中。
5. API 剑自动将所有相关请求添加至 Burp 的 Target Site Map 中。您可以在 Target 的 Site Map 中利用分析等功能，尽情享受 API 剑带来的成果。

用户只需启用 API 剑并设置一个“合理的范围”，接着在浏览器中继续点击 Web 系统的各种功能，确保所有流量经过 Burp，最终交由 API 剑进行分析处理。API 剑将向您呈现您所期待的成果。

如何使用

API 剑的使用方法非常简单：

1. 将插件安装至 Burp 2024 或更高版本，确保插件运行无任何报错。
2. 为插件设置 Scope（范围）。
3. 打开浏览器，确保浏览器流量通过 Burp 代理。
4. 进入目标网站，点击并测试您在网站上看到的所有内容。
5. 等待一段时间后，从 API 剑的 Site Map 中检查成果。

API 剑的设置

在 Scope 选项卡中，我们可以设置范围，范围可以是 URL、域名或 IP。

这个范围设置非常重要，建议谨慎考虑，以免扫描范围过大。

设置好范围后，我们再来看 Setting 选项卡。

1. 允许主动对 API 请求

此选项默认开启，不建议关闭，否则 API 剑无法进行更深层次的数据提取。

2. 是否使用原 headers

默认开启。如果您想专门测试未授权的 API 接口，可以关闭此选项。关闭后，请求将不会携带任何 Cookie 或 Session 等信息。

3. 立即停止发送所有请求

默认关闭。此功能用于在遇到突发情况时暂停请求，起到“刹车”作用，建议与第一个选项搭配使用。

4. 清除当前 SiteMap 所有数据

此按钮用于清除 API 剑 Site Map 中的所有站点数据。

关注微信公众号后台回复“20260205 ”，即可获取项目下载地址

关注微信公众号后台回复入群 即可加入星夜AI安全交流群

圈子介绍

现任职于某头部网络安全企业攻防研究部，核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练，精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中，主导突破多个高防护目标网络，曾获“最佳攻击手”“突出贡献个人”等荣誉。

已产出的安全工具及成果包括：

• 多款主流杀软通杀工具（兼容卡巴斯基、诺顿、瑞星、360等终端防护，无感知运行，突破多引擎联合检测）
• XXByPassBehinder v1.1 冰蝎免杀生成器（定制化冰蝎免杀工具，绕过主流终端防护与EDR动态检测，支持自定义载荷）
• 哥斯拉二开免杀定制版（二开优化，深度免杀，突破终端防护与EDR检测，适配多场景植入）
• NeoCS4.9终极版（高级免杀加载工具，强化载荷注入与进程劫持，适配多系统版本，无兼容问题）
• WinDump_免杀版（浏览器凭证窃取工具，支持Chrome/Edge/Firefox等主流浏览器，一键提取敏感数据，免杀过防护）_
• _DumpBrowser_V1_免杀版（浏览器凭证窃取工具，专攻浏览器密码、Cookie、历史记录提取，免杀性能拉满）
• fscan二开版（二开优化内网扫描工具，增强指纹精度、弱口令爆破与结果标准化输出，适配复杂内网）
• RingQ加载器二开版（二开优化免杀加载器，支持Shellcode内存执行，绕过各类终端防护与EDR检测）
• 多款免杀Webshell集合（覆盖PHP/JSP/ASPX，过主流WAF与终端防护，适配不同Web场景）
• 免杀360专属加载器（支持Shellcode内存执行，针对性绕过360全系防护检测，无感知运行）
• 一键Kill 火绒 defender 工具 *HDKiller*
• win11 一键kill 360工具 *InjectKill*
• win11 一键kill defender工具****win11_df-killer****

后续将不断更新到内部圈子中 欢迎加入圈子 

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星夜AI安全 星夜AI安全 星夜AI安全《工具推荐 | API剑 – 全自动深度 收集各种响应中的API接口》