文章总结： API剑是一款BurpSuite插件化API挖掘工具，可通过被动与主动双重采集自动从HTTP响应及JS文件中递归提取API接口，内置防环路机制与哈希去重避免死循环请求，支持一键发送至Repeater联动测试、无Cookie模式检测未授权接口、自定义线程与速率控制等功能，适用于Web渗透测试与赏金漏洞挖掘场景，项目开源托管于GitHub。 综合评分： 58 文章分类： 安全工具,WEB安全,渗透测试,SRC活动,漏洞分析

Burp插件：全自动API接口挖掘与测试利器

原创

0x八月 0x八月

0x八月

2026年3月27日 21:37 中国香港

Burp插件：全自动API接口挖掘与测试利器

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

📖 项目/工具简介

API剑 是一款 Burp Suite 插件化 API 挖掘工具，全自动深度收集 HTTP 响应中的 API 接口与 JS 文件，通过递归请求与防环路设计实现 零手动 的接口资产测绘，适用于 Web 渗透测试与赏金漏洞挖掘场景。

🚀 一句话优势

基于 Burp 流量生态 实现被动+主动双重采集，解决传统 JS 工具与浏览器脱离、无法实时联动测试的痛点。

📋 核心能力速览

| 功能 | 说明 | | — | — | | 流量捕获 | 自动提取Burp流经的所有响应内容 | | 递归解析 | 从JS/HTML中深度提取API与链接 | | 主动探测 | 自动请求提取到的API和JS文件 | | 防环路机制 | 智能去重避免死循环请求 | | 联动测试 | 一键将API发送至Burp Repeater |

📸 运行截图

✨ 核心亮点

1. 所见即所得的联动设计

API剑将提取的 API 与来源 JS 文件 成对展示 在 Burp 界面中。点击任意 API 即可在右侧查看其来源 JS 的完整响应，Ctrl+R 一键发送至 Repeater 进行测试。这种设计消除了传统工具”导出-复制-粘贴”的割裂感，让接口发现与漏洞验证在同一窗口完成。

2. 智能递归与防环路

插件不仅从初始响应中提取链接，还会 主动请求 JS 文件并继续解析 其中的新 API，形成递归采集。内置的 防环路机制 通过哈希去重与深度限制，确保不会因循环引用导致无限请求。用户只需在浏览器中正常点击功能，后台自动完成深度资产测绘。

3. 生产级稳定性设计

针对企业测试场景，API剑提供 紧急刹车按钮（立即停止所有请求）与 危险接口过滤（包含特定字符串则跳过）。支持自定义请求速率、线程数控制，以及可选的 无 Cookie 模式 专门测试未授权接口。所有配置与 Scope 范围支持持久化保存，重启后自动恢复。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | Burp生态集成 | 原生插件化架构 | 无缝对接Proxy/Repeater/Target | | 多线程采集 | 可配置线程数 | 提升大规模站点处理效率 | | 智能URL拼接 | 基于Referer处理跨站JS | 解决CDN场景下的路径错误 | | 响应码过滤 | 自定义状态码白名单 | 减少无效接口干扰 | | 手动扫描模式 | 右键菜单触发单目标分析 | 精准分析特定请求 |

📖 使用指南

① 准备工作（安装与配置）

下载 JAR 包从 Release 安装至 Burp 2024.7+ 版本。进入 Settings 配置 Scope 范围（建议精确到目标域名避免扫到外站），根据需求开启 无 Cookie 模式 或调整线程数

② 核心操作（启动采集）

确保浏览器流量经过 Burp，在目标网站进行 正常功能点击（无需刻意寻找 JS）。API剑自动在后台提取响应中的 API 与 JS，递归请求新发现的链接。通过 主动请求速率 参数控制请求间隔，避免触发风控

③ 结果查看（分析与测试）

在 API剑的 Sitemap 面板查看采集结果，关注 Method + Path + 来源JS 三列信息。对感兴趣接口点击 Send to Repeater，或在 Target 模块查看自动添加的站点地图。使用 过滤器 快速定位特定路径或响应码的接口

📖 项目地址

https://github.com/Sugobet/API_Sword

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

| | | | — | — | | | |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0x八月 0x八月《Burp插件：全自动API接口挖掘与测试利器》