文章总结： 该文档介绍BurpAPIFinder插件在攻防演练中的自动化应用，主要功能包括自动提取网站URL和JS文件中的接口链接、配置敏感关键词匹配、主动探测敏感信息泄漏。插件集成HaE、APIKit等主流指纹库，支持自定义父路径扫描，可发现未授权访问、越权漏洞、凭证泄漏等安全隐患，通过加载JAR包即可快速部署使用。 综合评分： 75 文章分类： 安全工具,渗透测试,WEB安全,漏洞分析

攻防必备 | 自动扒接口 + 查敏感信息，效率拉满

shuanx shuanx

HACK之道

2026年6月16日 08:11 重庆

在小说阅读器读本章

去阅读

介绍

攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，通过该BurpAPIFinder插件我们可以： 1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证 2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口 3、发现登陆后台网址 4、发现在html、JS中泄漏账号密码或者云主机的Access Key和SecretKey 5、自动提取js、html中路径进行访问，也支持自定义父路径访问 …

功能

如果有更好的建议或者期待使用的，点个免费的Star

• 提取网站的URL链接和解析JS文件中的URL链接(不单单正则、支持多种模式提取)
• 前段界面可自行定义敏感关键词、敏感url匹配
• 界面可配置的开启主动接口探测、敏感信息获取
• 支持用户自定义父路径重新开发扫描任务
• 集成主流攻防场景敏感信息泄漏的指纹库

• 集成HaE的敏感信息识别指纹
• 集成APIKit的敏感信息识别指纹
• 集成sweetPotato的敏感信息识别指纹

使用

1、前往项目 GitHub Releases 页面，直接下载编译好的 jar 包 2、如原先有使用旧版本的，需要删除掉原先同BurpAPIFinder.jar同目录下的BurpAPIFinder.db和finger-tmp.json文件后再加载 3、加载完后，不需要任何其他配置，只需要你在访问的网站的BurpSuite的代码，就会进行敏感指纹识别，有空去看看该网站看有没有匹配到铭感信息即可S

项目地址

https://github.com/shuanx/BurpAPIFinder

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HACK之道 shuanx shuanx《攻防必备 | 自动扒接口 + 查敏感信息，效率拉满》