前言

攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，通过该BurpAPIFinder插件我们可以：1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口3、发现登陆后台网址4、发现在html、JS中泄漏账号密码或者云主机的Access Key和SecretKey5、自动提取js、html中路径进行访问，也支持自定义父路径访问 ...

下载地址

https://github.com/shuanx/BurpAPIFinder

功能简介

• 提取网站的URL链接和解析JS文件中的URL链接(不单单正则、支持多种模式提取)
• 前段界面可自行定义敏感关键词、敏感url匹配
• 界面可配置的开启主动接口探测、敏感信息获取
• 支持用户自定义父路径重新开发扫描任务
• 集成主流攻防场景敏感信息泄漏的指纹库
• 集成HaE的敏感信息识别指纹
• 集成APIKit的敏感信息识别指纹
• 集成sweetPotato的敏感信息识别指纹

安装

1、下载右侧Releases下的jar包

说明: jar包二选一下载加载即可

BurpAPIFinder-high-v2.0.2.jar为高性能版本：对大js会提取前500w出来作识别

BurpAPIFinder-lower-v2.0.2.jar为普通性能版本：对大js会提取前50w出来作识别

2、如原先有使用旧版本的，需要删除掉原先同BurpAPIFinder.jar同目录下的BurpAPIFinder.db和finger-tmp.json文件后再加载

使用

加载完后，不需要任何其他配置，只需要你在访问的网站的BurpSuite的代码，就会进行敏感指纹识别，有空去看看该网站看有没有匹配到敏感信息即可

【功能一】针proxy代理后的流量， 会根据协议+域名+端口进行分类，点击后可展开对应的uri

• isJsFindUrl： 编写该uri是否为插件通过对网页内容进行识别后提取出来的uri还是用户proxy访问到的

• Result： 匹配到敏感信息的结果：敏感内容或-

• describe: 匹配到敏感信息的描述说明

• HavingImportant：红标则表示该uri下匹配重要敏感信息的规则，需要重点查看

【功能二】针对匹配到敏感信息的响应数据包，会在这里展示对应匹配的规则，以及在match result上表红展示对应匹配规则的关键词/正则的后200个字符，方便用户快速进行人工识别，减少工作量

【功能三】该功能为是否开启插件提取网页中的uri中存在的网址进行自动化发包识别该uri是否包含敏感信息，插件会默认提取出网页中uri出来，但是是否发包来识别取决于该按钮，目前发包只支持GET请求发包

【功能四】该功能为刷新插件的列表的信息，因为当我们在浏览或者操作表格的时候，则会暂停刷新，方便我们进行浏览和操作，如果用户10分钟无任何操作行为，则会自动化每10秒刷新表格

【功能五】快速过滤条件，方便用户优先查看重点信息

功能说明

默认配置

内置86条敏感内容的匹配规则，10条有价值信息的匹配规则，7条敏感路径的匹配规则

白名单URL后缀

类似.ico、.jpg、.png等资源类、静态类的后缀通常不存在敏感信息，则可直接去掉这种，但.html、.js除外

白名单域名

默认会过滤掉一些白域名，比如我们代理的时候可能会访问到baidu、google等，这种就不需要进入敏感信息识别中

白名单路径

过滤掉uri中包含这些的，比如用于读取图片、字体等，减少性能开销