文章总结： 作者针对现有BurpSuite目录扫描插件更新滞后、界面不友好的痛点，基于MontoyaAPI重构了RouteVulScan-2.0工具。该工具采用符合渗透测试人员逻辑的UI设计，支持高度自定义规则库，扫描准确度取决于用户规则配置精度。建议工具设计应聚焦原子化功能，避免功能冗余导致效率降低。 综合评分： 87 文章分类： 渗透测试,WEB安全,安全工具,安全开发,红队

渗透 | 为什么我又重构了一遍 RouteVulScan

原创

风沙吹奏 风沙吹奏

不务正业的安服崽

2026年4月10日 19:01 广东

在小说阅读器读本章

去阅读

前言

市面上的递归式目录扫描 BurpSuite 插件可能存在的痛点：

1. 长期不更新（近1~2年没有更新）或已停止更新导致不兼容新版（v2023.12.1以上） BP，或者兼容性差。
2. 界面交互设计差，使用不标准的英文表达、缺少交互逻辑、充满了一股“又不是不能用”的设计思维，不够友好。

因此，我基于 Montoya API 重构了这款工具，叫 RouteVulScan-2.0.0

https://github.com/ThestaRY7/RouteVulScan-2.0

我自己本身也是个安服仔，日常做渗透测试经常用到各种被动式的目录递归扫描插件，但最后还是选择参考 RouteVulScan 的代码逻辑，重构了一版。

这个工具的特点在于，采用符合安服仔测试逻辑的 UI 界面交互，还有高度自定义的规则库。

工具扫描能力的准度，完全取决于用户自定义规则的水平。

路径写的越详细，命中正则写的越准确，扫描结果就越靠谱。

插件功能展示

加载插件后的主界面：

HTTP history 页面的右键选项，可发送指定数据包到插件进行扫描：

最后

这个工具，有点像重复造轮子，因为大家来来去去写的工具都是为了解决同一个痛点，各有各的缺点和优点，对于我来说，都不够趁手。

还有些工具，缝合了一大堆功能，看上去样样都能做，实际样样都做不好。

这时候想起了猪猪侠大佬以前说过的：

• 要把工具做成“原子化”。
• 你向 100 个不同的安服仔，提供同一款插件，这大杂烩能用吗？
• 聚焦问题，有效解决问题。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不务正业的安服崽 风沙吹奏 风沙吹奏《渗透 | 为什么我又重构了一遍 RouteVulScan》