├── jsfindapi-1.0-jdk11-SNAPSHOT.jar
└── README.md
/jsfindapi-1.0-jdk11-SNAPSHOT.jar:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/h00klod0er/JSFindAPI/HEAD/jsfindapi-1.0-jdk11-SNAPSHOT.jar
--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
1 | # JSFindAPI - Burp Suite 插件
2 | JSFindAPI是一款自动从html页面中获取js链接,并自动访问js提取js中的api路径,然后自动进行api未授权测试的插件,同时也可被动监听,当访问js时自动提取api进行访问,提取api接口主要根据AJAX,XMLHttpRequest,axios,Vue.js等各种api请求的写法去正则提取,准确性和数量都有提升,同时添加过滤一些无效api请求(过滤返回为前端页面的请求),添加前置路由(如/jeecg-boot,/api),一键发送api列表到intruter的功能,一键复制所有提取的api接口,方便继续测试。
3 |
4 | 主要是由于用熊猫头插件的时候老是自己手动复制粘贴,还不如一步到位,貌似熊猫头有时候提取的也不全,并且有时候需要看多个站点,希望能有一个一键梭哈的工具,所以就写了这个插件,(由cursor驱动(狗头)。
5 |
6 | ## 界面展示
7 |
8 | ### api测试界面
9 |
10 | 
11 |
12 |
13 | ### 配置界面
14 |
15 | 
16 |
17 |
18 | ## 使用
19 |
20 | 第一次加载时会在burp启动页面生成配置文件,文件生成在burp启动目录下的jsapi.json,可以自己修改配置文件路径,加载插件后,点击启用插件,当访问站点时就会自动爬取js并且匹配api路径(不需要访问js,只需要访问到html页面,即可从html页面中爬取js并构造api界面)。
21 |
22 | ### 前置路由功能
23 |
24 | 可在配置中添加前置路由路径(每行一个),提取api测试访问时,自动在提取的api前加上该路径,例如,提取到/test,前置路由路径加了/jeecg,则api测试会访问/test和/jeecg/test
25 |
26 | 
27 |
28 | ### 一键发送到intruter功能
29 |
30 | 站点列表选择站点,右键可一键发送到burp intruter页面,并且自动复制api路径到剪贴板,发送到intruter时,在payload页面点击粘贴即可食用。
31 |
32 | 
33 |
34 |
35 | ### api列表使用
36 |
37 | api列表页面右键可以复制js路径,api路径和完整url
38 |
39 | 
40 |
41 | ### 搜索功能
42 |
43 | 搜索功能可对api路径,响应码等进行搜索过滤。方便找到你要的api和响应码
44 |
45 | 
46 |
47 | 
48 |
49 | ### 一键过滤无效api
50 |
51 | 勾选此处可以一键过滤响应为前端页面的api接口,更方便查看有数据的api
52 | 勾选前:
53 | 
54 | 勾选后:
55 | 
56 |
57 | ## 🔍 工作原理
58 |
59 | 1. **监听流量**:插件监听 Burp 的 HTTP 流量
60 | 2. **识别 HTML**:检测到 HTML 响应时,提取其中的 `