文章总结： Burp_Parsing是一款基于Jython的BurpSuite插件，通过智能正则从HTTP响应中提取API路径与参数，自动重组为可测试请求，并支持多线程批量验证接口存活状态。其核心双模块Parsing与Replayer联动，将接口发现、请求构造与批量验证压缩为三次右键操作，同时提供被动监听模式实时捕获Proxy流量中的API及Swagger接口，适用于未授权接口挖掘与资产测绘场景。 综合评分： 65 文章分类： WEB安全,安全工具,渗透测试

3. 被动监听与实时捕获

  开启 Listening 模式 后，插件在后台实时监听 Proxy 流量，自动捕获响应中暴露的 API 路径及 Swagger 文档定义的接口。支持自定义请求头覆盖（如添加 Auth Token 测试鉴权绕过），发现即测试，无需手动导入目标列表。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | Jython原生 | 纯Python编写Burp插件 | 无需额外编译，源码可审计 | | 多线程并发 | 可配置线程池批量发包 | 提升大规模验证效率 | | 智能过滤 | 静态资源与域名黑名单 | 减少噪音干扰 | | 请求头继承 | 默认携带原始Cookie | 保持登录态测试 | | 双模式切换 | Parsing与Replayer独立运行 | 灵活适配不同测试阶段 |

📖 使用指南

① 准备工作（安装与配置）

  下载 Burp_Parsing.py，在 Burp Extender 中加载（需 Jython 环境）。进入 Batch Verification 标签页配置 白名单域名 与 自定义请求头（如 Authorization 字段）

② 核心操作（提取与重组）

  在 Proxy/Repeater 历史记录中 右键响应包 → Extract to API Hunter。进入 Analysis 标签页查看提取结果，选中接口右键发送至 Batch Replayer。支持 Shift 多选批量导入

③ 结果查看（验证与分析）

  在 Batch Verification 面板点击 Send Request (Batch) 启动多线程扫描。关注 响应长度异常 的接口，右键发送至 Repeater 进行手工验证。使用 搜索功能 快速过滤特定路径关键词

📖 项目地址

https://github.com/w-sega/Burp_URLReplayer

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

| | | | — | — | | | |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0x八月 0x八月《Burp Suite 自动化 API 提取与批量验证插件》