文章总结: BurpAPIFinder是一款BurpSuite插件,用于从网站响应、HTML和JS文件中自动提取接口路径并识别敏感信息。插件通过代理监听响应内容,过滤静态文件后提取URL路径并存入SQLite数据库,集成106条指纹规则识别敏感数据和接口。提供前端接口梳理、敏感信息排查、JS路径补全等实战功能,支持自定义规则和主动探测,适合渗透测试和WEB安全审计场景。 综合评分: 85 文章分类: 安全工具,WEB安全,渗透测试,代码审计,漏洞分析
BurpAPIFinder:接口与敏感信息发现
原创
攻防路 攻防路
攻防录
2026年5月23日 06:00 北京
在小说阅读器读本章
去阅读
BurpAPIFinder 是一个 Burp Suite 插件,用来从网站响应、HTML、JS 文件里提取接口路径,并对接口返回内容做敏感信息识别。
项目地址:
http://github.com/shuanx/BurpAPIFinder
它适合放在日常代理流量旁边跑。浏览器正常访问资产,插件在 Burp 里记录接口、提取路径、标记敏感内容,后续再集中筛选。
技术原理
BurpAPIFinder 的入口在 Burp Proxy 流量。插件注册 IProxyListener,只处理响应包,不直接改请求。
核心流程可以拆成四步:
- Burp 收到响应后,插件读取 URL、方法、状态码、响应内容。
- 过滤静态文件、白名单路径、白名单域名、3xx 和 404 响应。
- 从 HTML 和 JS 内容里提取接口路径,写入本地 SQLite 数据库。
- 对原始接口和提取出的接口做敏感指纹匹配,并在表格里标记结果。
仓库里的实现比较直接。BurpExtender 负责加载指纹规则、注册 Proxy Listener 和 UI;IProxyScanner 负责响应处理、路径提取和调度;FingerUtils 负责敏感规则匹配;DatabaseService 用 SQLite 保存扫描状态和结果。
| 模块 | 作用 | 对应实现 |
| — | — | — |
| Proxy 监听 | 接收 Burp 代理响应 | IProxyScanner.processProxyMessage |
| 路径提取 | 从 HTML/JS 中提取 URL 和相对路径 | Utils.extractUrlsFromHtml 、Utils.findUrl |
| 任务调度 | 定时解析待处理数据、主动请求待爬取路径 | IProxyScanner.startDatabaseMonitor |
| 指纹识别 | 匹配敏感内容、敏感路径、有价值信息 | FingerUtils.FingerFilter |
| 结果存储 | 保存原始响应、接口、路径和识别结果 | DatabaseService |
这类插件的价值不在于“扫得猛”,而在于把前端暴露出来的路径整理出来。很多接口不会出现在页面按钮上,但会出现在 JS 路由、请求封装、配置文件或接口常量里。
BurpAPIFinder 的路径提取分两类:
| 来源 | 提取内容 | 适合发现的问题 |
| — | — | — |
| HTML 响应 | 页面中的同域 URL | 后台入口、跳转接口、静态引用中的接口线索 |
| JS 响应 | 绝对 URL、相对路径、接口文件后缀 | 隐藏 API、管理端路径、未授权接口线索 |
| 已访问接口 | 原始请求路径和响应内容 | 敏感字段、账号信息、凭证片段 |
| 自定义父路径 | 将已发现路径拼接到新前缀下重试 | /api/v1/user/info 这类版本化接口 |
指纹规则放在 finger-important.json。本地检查到规则总数为 106 条,其中包含敏感内容、敏感路径、有价值信息,以及白名单规则。
插件还集成了 HaE、APIKit、sweetPotato 的敏感信息识别指纹,适合已经习惯这些规则体系的使用者迁移到 Burp 侧统一查看。
快速上手
1. 下载插件
到 Releases 页面下载 jar 包:
http://github.com/shuanx/BurpAPIFinder/releases
项目 README 标注 JDK 9+。如果使用新版 Burp,直接加载 jar 即可。
2. 在 Burp 里加载
打开 Burp Suite:
Extensions -> Installed -> Add -> Java -> 选择 BurpAPIFinder jar
加载成功后,Burp 会出现 APIFinder 相关标签页。正常访问目标站点,插件会自动读取经过 Proxy 的响应。
3. 查看接口结果
插件主界面会展示请求总数、成功识别域名、已分析 URL、已爬取 JS 等信息。
可以按下面几类筛选:
只看重点
全部
只看 status 为 200
只看敏感内容
只看敏感路径
这一步主要用来做收敛。接口很多时,先看“只看重点”和“只看敏感内容”,再回到完整列表补充验证。
4. 调整规则和主动探测
插件提供配置界面,可以调整敏感关键词、敏感 URL 匹配、主动接口探测等选项。
如果旧版本已经使用过,README 提到需要删除同目录下旧的 BurpAPIFinder.db 和 finger-tmp.json 后再加载,避免旧配置影响新版规则。
5. 编译源码
如果想自己编译,可以使用 Maven:
git clone https://github.com/shuanx/BurpAPIFinder.git
cd BurpAPIFinder
mvn package
构建配置里使用了 maven-assembly-plugin,会生成带依赖的 jar,方便直接加载到 Burp。
使用场景
前端接口梳理
任务示例:访问业务首页、登录页、管理页,把 JS 中出现的接口路径集中整理出来。
技术要点:插件会从 HTML 和 JS 中提取 URL,并过滤静态文件、白名单路径、中文路径等噪声。适合先做资产面梳理,再人工确认接口是否仍然可访问。
敏感信息排查
任务示例:检查响应中是否出现账号、手机号、邮箱、凭证字段、云密钥格式或后台路径。
技术要点:规则支持 keyword 和 regular 两种匹配方式,匹配位置可以是 body 或 urlPath。命中重要规则时,结果会被标记为重点,方便优先复核。
JS 路径补全
任务示例:JS 里只出现 /user/info,实际接口可能在 /api/v1/user/info 下。
技术要点:插件支持自定义父路径,把已发现路径拼接到新的父路径下重新请求。这个功能适合处理前后端分离项目、API 版本前缀和网关统一前缀。
带凭证复测
任务示例:某些接口匿名访问返回 3xx 或 4xx,但加上 Cookie、Authorization 后可能返回业务数据。
技术要点:插件界面里支持自定义凭证或头部信息。这个能力只适合在授权测试、内网自查或靶场环境中使用,避免把自动请求打到无关目标。
结尾
BurpAPIFinder 适合补 Burp 原生流量视图的短板:它不只是记录请求,还会把前端里散落的接口路径和敏感信息线索整理出来。
如果日常测试里经常手动翻 JS、复制接口、再回 Burp 一个个试,BurpAPIFinder 可以把这段流程压缩成一个可筛选的结果表。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:攻防录 攻防路 攻防路《BurpAPIFinder:接口与敏感信息发现》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论