BurpSuite插件,自动解析OpenAPI/Swagger文档并测试其中的API接口
工具介绍
这是一个为BurpSuite设计的API测试插件,可以自动解析OpenAPI/Swagger文档并测试其中的API接口。
功能特性
- 🔍 智能解析: 支持OpenAPI 2.0/3.0和Swagger JSON/YAML格式
- 🚀 自动测试: 自动发送GET和POST请求(过滤PUT和DELETE请求)
- 📊 结果展示: 以表格形式展示测试结果,支持排序功能
- 🔗 BurpSuite集成: 测试结果自动记录到BurpSuite历史记录
- 🖱️ 右键菜单: 支持Send to Repeater和Copy URL功能
- ⏹️ 停止控制: 可随时停止正在进行的测试
- 📈 进度显示: 准确的进度条和状态显示
- 📋 批量请求头: 支持输入自定义请求头,可选择性启用
- 🎯 参数生成: 自动生成示例参数值进行测试
- ⚡ 并发控制: 合理控制请求频率,避免对目标服务器造成压力
工具使用
界面布局
输入字段说明
API文档地址
- 用途: 用于获取和解析OpenAPI/Swagger文档
- 格式: 完整的URL地址
- 示例:
- https://xxx.com/api.json
- https://api.example.com/swagger.json
- https://petstore.swagger.io/v2/swagger.json
请求Host地址
- 用途: 实际发送API请求时使用的协议和Host
- 格式: 协议 + 主机名 + 端口(可选)
- 示例:
- https://xxx.com
- https://api.example.com
- http://localhost:8080
批量请求头
- 用途: 为所有API请求添加自定义HTTP请求头
- 格式: 每行一个请求头,格式为 Header-Name: Header-Value
- 示例:
User-Agent: PostmanRuntime/7.46.1 Authorization: YWRtaW4= Postman-Token: a9ca212d-e1ae-4291-8ba2-95d9db439a15 X-API-Key: your-api-key-here Content-Type: application/json
- 使用控制: 通过勾选框控制是否启用自定义请求头
- 优先级: 自定义请求头会覆盖默认请求头(除Host头外)
基本使用步骤
- 安装插件后,在BurpSuite中找到 API 测试工具 标签页
- 在 API文档地址 输入框中输入OpenAPI/Swagger文档的完整URL
- 在 请求Host地址 输入框中输入实际要测试的API服务器地址
- (可选) 在 批量请求头 区域输入需要的自定义请求头
- (可选) 勾选或取消勾选 使用上述请求头 来控制是否启用自定义请求头
- 点击 开始测试 按钮
- 插件会自动解析API文档并开始测试
- 测试结果会实时显示https://github.com/mumu0215/api_checker在下方的表格中,包含自定义请求头信息
- 可随时点击 停止测试 按钮终止测试
- 测试完成后,所有请求都会记录到BurpSuite的历史记录中
工具获取
https://github.com/mumu0215/api_checker
文章来源:夜组安全
官方
5.57K篇文章
177.61M总阅读量
