工具介紹

這是一款依賴于BurpSuite中HTTP history的API測(cè)試輔助工具，能夠幫助你分析單個(gè)站點(diǎn)的請(qǐng)求路徑，快速?gòu)腏son格式的響應(yīng)數(shù)據(jù)中獲取參數(shù)，便于進(jìn)行FUZZ。

菜單功能

Send HttpContext

在一個(gè)完整的請(qǐng)求中右鍵，選擇Send HttpContext即可將當(dāng)前數(shù)據(jù)包中Host主機(jī)的所有HTTP history發(fā)送到插件面板中；

自動(dòng)獲取該Host的所有響應(yīng)體中的Json數(shù)據(jù)，按鍵值對(duì)生成多行形如a=b的數(shù)據(jù)，同時(shí)還會(huì)自動(dòng)給鍵設(shè)置6位隨機(jī)值，便于FUZZ時(shí)的對(duì)比，將生成的結(jié)果去重后放置在AllParams標(biāo)簽內(nèi)。

自動(dòng)獲取該Host的所有請(qǐng)求路徑，去重后放置在ReqPath標(biāo)簽內(nèi)。

Get Json2Param(Response)

對(duì)選中的單個(gè)或多個(gè)請(qǐng)求記錄獲取其響應(yīng)體中的Json并轉(zhuǎn)換為 鍵=值 的結(jié)果，不自動(dòng)設(shè)置隨機(jī)值，去重后放置在Result標(biāo)簽中。

只對(duì)Response進(jìn)行處理

Get Json2Param(Request)

只對(duì)Request進(jìn)行處理

使用場(chǎng)景，Intruder跑完，對(duì)成功結(jié)果中的請(qǐng)求參數(shù)的提取。不過(guò)暫時(shí)還不能指定獲取哪個(gè)參數(shù)，默認(rèn)全部獲取。

面板功能

首先肯定是先要使用Send HttpContext發(fā)數(shù)據(jù)過(guò)來(lái)的。

視圖：

Filter

輸入Java支持的正則，點(diǎn)擊按鈕或者回車都可以。

使用示例1:/api/getUserList即可過(guò)濾包含/api/getUserList的請(qǐng)求。

使用示例2:getUserList|getRoles即可過(guò)濾包含getUserList或者getRoles的請(qǐng)求。

使用示例3:admin.xxx.com && getUser即可過(guò)濾host為admin.xxx.com的包含getUser的請(qǐng)求。

注意1：只可過(guò)濾：#、host、Method、url、statusCode表格內(nèi)的字段值,不能根據(jù)包內(nèi)容過(guò)濾。

注意2：這里用到的邏輯與是[space]&&[space]，是包含空格的兩個(gè)&；邏輯或是不包含空格的一個(gè)|

Result、AllParams、ReqPath文本框

Result: 主要放置處理結(jié)果的框；兩個(gè)Get 菜單的結(jié)果也在這里；可以隨著選擇面板中的一行實(shí)時(shí)變化。

AllParams: 隨著面板中的過(guò)濾結(jié)果變化，初始是Send HttpContext的全部。

ReqPath: 隨著面板中的過(guò)濾結(jié)果變化，初始是Send HttpContext的全部。

Copy

解放CV鍵，點(diǎn)一下即可復(fù)制當(dāng)前文本框中的數(shù)據(jù)。

工具下載

https://github.com/lu2ker/ApiHelper/releases/tag/1.0.3