[\[EN-ReadMe\]](https://github.com/Sugobet/API_Sword/blob/main/%5BEN%5D-README.md) <------ por favor lea esto
WeChat Public Account: APT250
Siguiendo el principio de código abierto y aprendizaje colaborativo, API Sword se abrirá al público y se publicará en la tienda oficial de plugins de Burp BApp Store dentro de dos semanas (después del 7 de septiembre), para facilitar futuras actualizaciones y uso. Actualmente está en revisión de código oficial, creemos que pronto estará disponible en BApp Store.
[Nuevo plugin clásico para burp] API Sword - Recolección profunda automática de APIs en diversas respuestas
El paquete jar está en release, y después de publicarse en la tienda oficial de plugins de burp también podrá descargarse desde la tienda.
Prefacio
Este plugin combina mi trabajo reciente y parte de mi experiencia previa con el premio de 40,000 dólares por vulnerabilidades en cuentas de Microsoft API.
Los desarrolladores de API Sword han logrado resultados y 0days genéricos en proyectos usando API Sword. Con esta herramienta, ya no necesito buscar manualmente interfaces, rutas o parámetros en ningún js de forma dolorosa.
Similar a muchas herramientas populares como JS Finder, URLFinder y otras para extracción de js y api, que son excelentes herramientas, API Sword se beneficia y destaca gracias a las características de burp.
Captura de pantalla de la página principal del plugin:
Funciones principales de API Sword
API Sword previene bucles, extrae automáticamente APIs y archivos js dentro del rango especificado desde diversas respuestas, luego extrae recursivamente APIs en profundidad, solicitando activamente APIs, js y otros archivos valiosos.
Los resultados de las APIs son WYSIWYG, la ventana derecha muestra el js fuente de la API, donde se pueden obtener al instante los parámetros de la API, luego burp permite probar rápidamente con ctrl + r.
No es tan complejo como parece, API Sword principalmente reduce mucho el trabajo repetitivo, tedioso y que consume tiempo de búsqueda de js, api y parámetros de api.
- API Sword captura el tráfico dentro del rango de burp y extrae la mayoría de los enlaces de las respuestas http.
- API Sword limpia cualquier enlace o ruta extraída en el paso anterior, y con su juicio propio realiza solicitudes GET o POST activas a APIs, JS, etc.
- API Sword procesa las respuestas de estas solicitudes activas, extrae más información y repite el paso anterior. API Sword tiene prevención de bucles para evitar solicitudes en ciclo infinito.
- API Sword envía todas las solicitudes y respuestas API que cumplen condiciones, así como las respuestas de los archivos js fuente, al GUI de burp de API Sword.
- API Sword añade automáticamente todas las solicitudes relacionadas al sitemap de burp target, donde podrá disfrutar plenamente de los frutos que API Sword ofrece en funciones como análisis del sitemap.
Por motivos de opsec y seguridad, actualmente API Sword no realiza fuzzing activo de parámetros; si se requiere, se añadirá como función opcional en el futuro.
¿Cómo usar?
Nota: el plugin debe ejecutarse en Burp Suite versión 2024.7 o superior; (para versiones inferiores a 2024.7, es necesario desactivar manualmente la función "usar headers originales" en la página de configuración del plugin)
El uso de API Sword es muy sencillo,
- Instale el plugin en versiones de Burp posteriores a 2024, asegurándose de que no haya errores en el plugin
- Configure el Scope para el plugin
- Abra el navegador y asegúrese de que el tráfico pase a través de Burp
- Ingrese al sitio objetivo, haga clic y pruebe todo lo que vea en el sitio
- Después de un tiempo, revise los resultados desde el Sitemap de API Sword
Configuración de API Sword
En la pestaña Scope, podemos configurar el alcance, que puede ser URL, dominio o IP
Este alcance es especialmente importante, se recomienda considerarlo con cuidado, de lo contrario podría terminar escaneando el espacio exterior.
Después de configurar el alcance, veamos la pestaña Setting
- Permitir solicitudes activas a la API
- Usar headers originales
- Detener inmediatamente el envío de todas las solicitudes
- Borrar todos los datos actuales del SiteMap
- Habilitar la tasa de solicitud HTTP activa
- ¿Agregar rutas personalizadas adicionales en solicitudes activas?
- Filtrar códigos de respuesta personalizados distintos de 200
- Permitir que API Jian busque activamente la baseURL en la respuesta y realice la concatenación de rutas en baseURL
- Añadir campos de encabezado personalizados: (sobrescribe automáticamente los campos de encabezado existentes)
- Habilitar eludir acceso a interfaces peligrosas (se omite si la interfaz contiene ciertas cadenas)
- Guardar alcance y todas las configuraciones
- ¿Agregar rutas personalizadas adicionales después de la interfaz API y antes de los parámetros?
- Control de cantidad de hilos
Agradecimientos
Gracias a Microsoft
Gracias a mi mentor de NSFOCUS
Gracias a mil1ln
Gracias a 探姬
Gracias a todos los que han brindado valiosas opiniones y comentarios durante la fase de prueba de API Jian
¡Gracias a todos los anteriores por todo el apoyo brindado a API Jian!
TODO
- Recoger una camiseta polo de Meihua K ⬛️
- Añadir ruta base url opcional para fuzz ✅
- Añadir filtrado personalizado de códigos de respuesta ✅
- Añadir opción de ruta base personalizada al hacer solicitudes activas con API Sword ✅
- Optimizar la estrategia de coincidencia, desbloqueando el rendimiento del API Sword en un 80% ✅
- Optimización de solicitudes activas de API Sword para evitar acceder a APIs peligrosas ✅
- Solucionar el problema de que el header por defecto de Burp no incluya el campo CT ✅
- Optimizar el ancho de las etiquetas en la tabla de respuestas ✅
- Corregir el parpadeo de la UI del sitemap ✅
- Añadir función opcional de cabeceras de solicitud personalizadas ✅
- Añadir ordenación automática de etiquetas en la lista de respuestas ✅
- Optimizar la estrategia de coincidencia ✅
- Optimizar bloques de código ⬛️
- Registrar el manejo al desinstalar Burp ✅
- Añadir comentarios de código bilingües chino-inglés en todo el código ⬛️
- Añadir función de cambio bilingüe chino-inglés en la GUI ✅
- Optimizar problemas de bloqueo y renderizado en Burp causados por la UI ✅
- Añadir función para guardar el alcance y configuración ✅
- Añadir función de velocidad para solicitudes HTTP activas ✅
- Añadir función de multihilo ✅
- Añadir función de ruta personalizada después de la interfaz y antes de los parámetros ✅
- Reparación urgente del fallo en la lógica anti-bucle causado por multihilo ✅
- Corregir error de visualización en ordenación automática ✅
- Optimizar la UI de la lista de APIs, al insertar datos, las teclas de dirección ya no interrumpen la acción ✅
- Reparar completamente el bug que causaba fallo en la lógica anti-bucle debido a multihilo ✅
- Añadir filtros ✅
- Añadir funciones para expandir nodos y contraer todos los nodos ✅
- Optimizar función para limpiar el sitemap ✅
- Optimizar lógica de concatenación de JS en CDN/cross-site para usar referer como baseUrl ✅
- Añadir función de escaneo manual; el escaneo manual añadirá automáticamente el host al alcance: clic derecho en el cuerpo de una solicitud en Burp -> Extensión -> API Sword -> API Scan ✅