2026-02-06 01:51:45 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍BurpSuite插件S-APICONT，用于前端框架API安全测试。插件支持自动监听流量、解析动态路由及批量测试接口，具备自动化与手动模式。内置Intruder替换及敏感信息检测功能，可识别密钥等高危数据。此外，文章还展示了高校系统通过参数FUZZ发现未授权注册的实战案例。 综合评分： 72 文章分类： 安全工具,产品介绍,WEB安全,实战经验,渗透测试

cover_image

针对各类前端框架信息收集的神器

锐鉴安全

2026年2月5日 07:03 广东

gogo75

书站的未授权漏洞，忆校园青春阅edu证书站的未授权漏洞，忆校园青春

点击蓝字关注我共筑信息安全

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

背景

本次实战的案例，源于某高校的人脸采集系统，听着都感觉危害很大，因为全是敏感信息，如身份证、人脸等，拿到就是高危漏洞。从无账号到登录系统，靠的就是fuzz，详细的过程见实战过程。

实战过程

通过一系列的信息收集，高校的人脸采集系统引起了作者注意，为什么？因为有敏感信息。

连Hunter、Fofa都没索引到这个系统，作者靠灯塔拿到了，灯塔确实好使，关键还免费，需要的师傅可以文末获取下载链接！

系统的首页如下图，可以看到，只用一个登录按钮。

看下findsomething，也没有找到“注册”功能相关的关键字，同时也跑了下接口，并无接口未授权问题。

本次案例的关键操作来了，首先抓包观察下登录系统的数据包情况，随意输入账号密码，点击登录。

可以看到登录的数据包中有个login关键字，秉着试试的心态！

作者将login改为register，惊喜时刻，注册账号成功。

使用注册成功的账号登录系统。

可以看到获取到了身份凭证。

登录到了个人信息首页。

任意用户注册账号漏洞拿下，这个fuzz操作确实有点妙。都登录系统，肯定得把全量的功能测一遍，一般可以测试sql注入、越权、文件上传等漏洞。

点击蓝字关注我共筑信息安全

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息、工具等造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

工具概述

前端框架（Vue/React/Angular）的动态路由更易导致接口遗漏，敏感信息隐藏在响应中难以察觉。

一款适配主流前端框架的 API 安全测试插件应运而生！

S-APICONT 是一款专为安全研究人员设计的 Burp Suite API 收集与测试插件，帮助您快速发现和测试 Web 应用中的 API 接口。

它能自动监听浏览器流量，智能解析动态路由，批量捕获 API 接口无需手动干预；同时内置敏感信息检测引擎，精准识别密钥、Token、身份证号等高危数据并高亮标注。下载链接见文末！

核心功能

插件提供两种操作模式

*解放双手模式（小白专属）：自动监控、自动提取、自动测试，一键搞定

*高级自定义模式：手动控制 API 提取和测试流程，满足专业需求

智能 API 收集

*自动监听浏览器流量，实时提取 API 接口

*支持 Vue/React/Angular 等主流框架路由解析

*智能识别一级路由变量，自动拼接完整路径

*从 JS/HTML/JSON 等前端资源文件中提取 API

批量测试

*一键批量访问所有发现的 API

*可配置请求间隔，避免触发 WAF

*支持 GET/POST/PUT/DELETE/PATCH 等多种 HTTP 方法

*测试范围选择：只测未测试的 / 全部重新测试

*提取范围选择：提取全部 / 只提取新增

Intruder 式批量替换测试

使用 § 标记 Payload 位置

将标记位置替换为所有 API 路径进行批量测试

快速发现未授权访问漏洞

自动同步目标主机和 API 列表

敏感信息检测

*自动识别响应中的敏感数据

*高危：私钥、密码字段、Secret Key、AWS Key、阿里云 Key、身份证号

*中危：JWT Token、API Key、Access Token、银行卡号

*低危：手机号、邮箱、内网 IP 地址

智能认证信息获取

*自动从 Burp 历史记录中查找匹配的 API 请求

*智能复制 Cookie、Authorization、Token 等认证头

*支持从目标主机的最新请求获取认证信息

*确保测试请求携带正确的认证凭据

使用方法

*下载 S-APICONT内测V1.5.jar

*打开 Burp Suite → Extensions → Add

*Extension Type 选择 Java

*选择下载的 JAR 文件

*点击 Next 完成安装

期待您的关注

往期好文推荐

高效出洞必备浏览器插件

从微信扫描登录到账号接管，细节实战

记一次”高危”逻辑漏洞挖掘实战

记一次SRC支付漏洞实战

安服仔薅洞必备

更新|帆软、用友、泛微、蓝凌等常见OA系统综合漏洞检测工具

渗透测试集成工具

Web渗透测试综合工具

推荐一款资产“自动化”筛选工具

Jeecg-boot最新漏洞检测工具

js.map文件还原组合工具

Fuzz参数收集工具

Java漏洞专项检测工具

免密登录某后台管理系统实战

小程序渗透测试之全站用户接管

有趣的Fuzz+BucketTool工具等于双高危！

这个站”穿”了,等同于Getshell？

Edu src证书站IOT(物联网)漏洞挖掘

下载方式：关注公众号，回复”260205″获取下载链接

入交流群请扫码：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：锐鉴安全《针对各类前端框架信息收集的神器》