工具介紹

這是一款依賴于BurpSuite中HTTP history的API測試輔助工具，能夠幫助你分析單個站點的請求路徑，快速從Json格式的響應(yīng)數(shù)據(jù)中獲取參數(shù)，便于進行FUZZ。

菜單功能

Send HttpContext

在一個完整的請求中右鍵，選擇Send HttpContext即可將當(dāng)前數(shù)據(jù)包中Host主機的所有HTTP history發(fā)送到插件面板中；

自動獲取該Host的所有響應(yīng)體中的Json數(shù)據(jù)，按鍵值對生成多行形如a=b的數(shù)據(jù)，同時還會自動給鍵設(shè)置6位隨機值，便于FUZZ時的對比，將生成的結(jié)果去重后放置在AllParams標(biāo)簽內(nèi)。

自動獲取該Host的所有請求路徑，去重后放置在ReqPath標(biāo)簽內(nèi)。

Get Json2Param(Response)

對選中的單個或多個請求記錄獲取其響應(yīng)體中的Json并轉(zhuǎn)換為 鍵=值 的結(jié)果，不自動設(shè)置隨機值，去重后放置在Result標(biāo)簽中。

只對Response進行處理

Get Json2Param(Request)

只對Request進行處理

使用場景，Intruder跑完，對成功結(jié)果中的請求參數(shù)的提取。不過暫時還不能指定獲取哪個參數(shù)，默認全部獲取。

面板功能

首先肯定是先要使用Send HttpContext發(fā)數(shù)據(jù)過來的。

視圖：

Filter

輸入Java支持的正則，點擊按鈕或者回車都可以。

使用示例1:/api/getUserList即可過濾包含/api/getUserList的請求。

使用示例2:getUserList|getRoles即可過濾包含getUserList或者getRoles的請求。

使用示例3:admin.xxx.com && getUser即可過濾host為admin.xxx.com的包含getUser的請求。

注意1：只可過濾：#、host、Method、url、statusCode表格內(nèi)的字段值,不能根據(jù)包內(nèi)容過濾。

注意2：這里用到的邏輯與是[space]&&[space]，是包含空格的兩個&；邏輯或是不包含空格的一個|

Result、AllParams、ReqPath文本框

Result: 主要放置處理結(jié)果的框；兩個Get 菜單的結(jié)果也在這里；可以隨著選擇面板中的一行實時變化。

AllParams: 隨著面板中的過濾結(jié)果變化，初始是Send HttpContext的全部。

ReqPath: 隨著面板中的過濾結(jié)果變化，初始是Send HttpContext的全部。

Copy

解放CV鍵，點一下即可復(fù)制當(dāng)前文本框中的數(shù)據(jù)。

工具下載

https://github.com/lu2ker/ApiHelper/releases/tag/1.0.3