文章总结： 该文档介绍BurpSuite插件AutoRepeater增强版，用于自动化检测SSRF、重定向、SQL注入及敏感信息泄露。核心优势包括修复JSON参数匹配问题、基于原始响应的轻量级比对机制、模块化漏洞检测开关。支持自定义参数替换规则，无需发送额外请求即可检测未授权访问，适合生产环境安全测试，建议配合双窗口提升效率。 综合评分： 72 文章分类： 安全工具,渗透测试,WEB安全,漏洞分析

Burp插件AutoRepeater(增强版):自动化挖掘SSRF与未授权访问

原创

0xSecDebug 0xSecDebug

0x八月

2026年2月27日 13:12 陕西

Burp插件AutoRepeater(增强版):自动化挖掘SSRF与未授权访问

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

📖 项目/工具简介

    AutoRepeater是Burp Suite插件，自动化检测SSRF、Redirect、SQLi及敏感信息泄露，支持自定义参数匹配规则。

🚀 一句话优势

    基于原始请求响应的正则匹配，零额外资源占用实现自动化漏洞挖掘。

📋 核心能力速览

| 功能名称 | 一句话说明 | | — | — | | 自动化漏洞挖掘 | 检测SSRF、OpenRedirect、SQLi常见漏洞类型 | | 敏感信息匹配 | 内置正则检测未授权、Shiro、AK、Swagger接口 | | 自定义参数替换 | 灵活配置需测试的参数名与Payload | | 请求响应比对 | 基于原报文的文本正则匹配，不占内存 | | 双窗口协同 | 建议同时开启漏洞检测与信息匹配窗口 |

📸 运行截图

| 功能模块 | 截图位置 | | — | — | | Config配置界面（模块选择） | | | Replacements参数配置 | | | 请求响应匹配结果 | |

✨ 核心亮点

1. 1

   Json参数精准匹配：

2. 修复了原版AutoRepeater长期存在的json格式参数匹配失败问题，现在可以正确处理Content-Type为application/json的请求体中的参数替换，覆盖现代API接口测试场景。

3. 2

   轻量级响应比对：     采用基于原始请求响应的文本正则匹配机制，不在后台发送额外请求，仅通过分析响应内容差异（如删除Cookie后是否正常响应）来判断未授权访问，避免对目标系统造成额外负载。

4. 3

   模块化漏洞检测：     独立开关控制SSRF、Redirect、Sqli三大模块，配合自定义Replacements规则，可针对特定参数（如url、redirect、id等）批量替换Payload，实现精准漏洞探测而不干扰正常业务流量。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | Burp插件架构 | 深度集成Burp Suite | 无缝衔接手工测试流程，利用现有代理流量 | | 零额外请求检测 | 基于原始响应文本匹配 | 不增加网络负载，适合生产环境谨慎测试 | | Json解析修复 | 解决原版json匹配缺陷 | 支持现代API接口测试，覆盖更多攻击面 | | 双模式检测 | 漏洞探测+敏感信息匹配 | 建议开两个窗口分别运行，提升测试效率 | | 参数级精准替换 | Replacements自定义规则 | 只修改目标参数，减少误报和干扰 |

📖 使用指南

① 准备工作：

    根据Burp版本下载对应JDK版本的插件（jdk1.8或jdk18），在Burp Extender中加载AutoRepeater。

②核心操作：

    在Config中勾选需开启的模块（SSRF/Redirect/Sqli），配置dnslog token；在Replacements中添加待检测的参数名（如url、redirect、id），建议同时开启两个窗口分别用于漏洞检测和敏感信息匹配。

③ 结果查看：

    查看Modified标签页中的修改后响应，通过Bug Type列的comment定位敏感信息类型；测试未授权时勾选对应选项后遍历后台接口，观察删除Cookie后是否仍能正常响应。

📖 项目地址

https://github.com/Lotus6/AutoRepeater

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

| | | | | — | — | — |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0xSecDebug 0xSecDebug《Burp插件AutoRepeater(增强版):自动化挖掘SSRF与未授权访问》