• 英文README在此

🧿 AutorizePro（内置AI分析模块 ❤️‍🔥）：

工具一句话介绍：AutorizePro是一款创新性的内置AI分析模块的专注于越权检测的Burp插件（已有多个白帽反馈用工具嘎嘎挖到src洞，欢迎Star🌟跟踪项目，仓库迁移痛失之前600+star🌟）

🟣️ 未启用AI时为常规检测逻辑，AI为可选项。面对复杂多变的接口响应，启用AI可以大幅提升效率与准确率。时间宝贵，让AI替你十倍速挖洞！

工具背景

• 越权漏洞是黑盒测试与SRC挖掘中必测项，但手工逐个验证耗时巨大。
• 传统越权检测工具难以自动化覆盖多样化接口逻辑，误报率高，实用性弱。

工具亮点

• 内置AI分析模块(可选项)，将工具原始误报率从95%降低至5%，从大量误报分析中解脱出来
• 保密性：支持配置为公司内部部署模型进行分析
• 🌟 支持自定义API：可配置任意OpenAI兼容的API端点，支持本地部署模型（如Ollama）或其他厂商模型
• 工具默认排除静态资源、HTML页面、错误状态码等非接口资源，无需人工配置
• 支持导出越权测试报告，支持HTML、CSV格式
• 工具日志可查看每个接口AI判定的原因，方便反馈调优

🔧 安装AutorizePro

1️⃣ 下载Burp Suite和Jython

1. 下载Burp Suite：https://portswigger.net/burp/releases
2. 下载Jython standalone JAR文件：https://www.jython.org/download.html

2️⃣ 配置Burp Suite的Python环境

1. 打开Burp Suite
2. 导航到Extender -> Options
3. 在Python Environment部分，点击Select File
4. 选择你刚刚下载的Jython standalone JAR文件（本项目测试环境为：Jython 2.7.3，Burp Suite 2024.11（自带的Java版本为Java 22））

3️⃣ 安装AutorizePro插件

1. 下载代码仓库最新版本的发布ZIP包到本地，解压
2. 打开Burp Suite，导航到Extender -> Extensions -> Add
3. 在Extension Type选择框中，选择Python
4. 在Extension file选择框中，选择代码仓库中AutorizePro.py文件路径（注意路径不能有中文，否则安装失败）

AutorizePro插件安装完成界面 🎉

💡 你可通过拉动中间的侧边栏任意调整展示页和配置页的显示比例；配置界面可通过上下拉动分界线任意调整配置页面比例；

🔫 使用AutorizePro插件

1. 打开配置选项卡：点击AutorizePro -> Configuration。

2. 将第二个账户认证头复制到标有“Insert injected header here”的文本框中。注意：如果请求中已经包含了该头部，插件会替换现有的头部，否则会添加新头部。

3. 如果不需要进行未授权的测试（即不带任何Cookie的请求），可以取消勾选Check unauthenticated（默认开启未授权检测）。

4. 配置AI分析：
   - **使用默认API**：选择模型，填写对应API Key，勾选“启用AI”复选框
   - **使用自定义API**：在URL输入框填写自定义API地址（如`http://localhost:11434/v1/chat/completions`），填写API Key（如不需要可留空），输入模型名称，勾选“启用AI”复选框
   - AI分析结果将展示在左侧AI.Analyzer列

5. 点击AutorizePro is off按钮启用插件，即可开始测试。

6. 在AutorizePro插件的左侧结果展示界面中，你将看到请求的URL和对应的权限检查状态。

7. 点击左侧展示页面的某个URL，点击右侧Request/Response Viewers Tab页，即可查看选中项的原始&&越权&&未授权测试的请求/响应，可人工查验。

🌠 使用效果示例

🌟 大幅降低误报：从下图中可以看出，启用AI分析后，你只需要去分析一个请求是否真正越权，人工投入的分析精力节约95%以上。

⬇️ 替换Cookie方式测试越权

⬇️ 替换参数方式测试越权

查看选中条目的具体请求信息，可同时展示越权请求、原始请求、未授权请求，方便对比差异

❓检测状态说明

• Bypassed!（红色）：判定越权

• Enforced!（绿色）：判定不存在越权

• Is enforced???：无法判断，可以在enforcement detector/已鉴权规则中配置越权特征协助判断

🚰 过滤器配置：在Interception Filters/请求过滤规则中配置拦截规则

• 拦截过滤器位可以配置插件需要拦截哪些域名或拦截符合指定特征的请求。
• 支持黑名单、白名单、正则表达式或Burp的范围内的项目来确定拦截的范围，以避免不必要的域名被AutorizePro拦截，避免对无关请求的拦截分散分析精力。
• ⚠️ 安全提示：因为工具涉及Cookie替换重放，强烈建议在Interception Filters指定目标的站点，以免Cookie泄漏至其他站点
• 🌟 工具默认忽略静态资源、HTML、错误响应等类型请求的分析，无需用户配置。

💰 AI分析功能需要花多少钱？（需勾选复选框之后才会启用AI分析）

• 启用AI分析之后仅自动检测（状态码相等&&响应为JSON格式&&响应长度在50-6000的数据包），减少不必要的AI分析带来的经费消耗。
• ⚠️ 注意：当启用AI分析功能时，您应该尽量在Interception Filters中配置拦截的域名/规则，以免检测非目标站点带来的经费消耗。
• 🌟 支持多家厂商模型接入，要使用其他模型，请自行开通对应的服务以及申请API KEY，使用时填写API KEY + 选择对应厂商的模型即可。
• eg：阿里云
  • AI分析功能需要先开通模型调用服务，在阿里云百炼首页顶部提示进行开通：
  • 阿里云通义千问API计费说明，新开通的都有100万tokens的免费额度（个人测试消耗示例：在插件开发调试期间全天较高频率测试且没有限制域名，全天消耗总费用0.38元）

🌐 自定义API配置（支持本地模型和其他厂商）

AutorizePro支持配置自定义API端点，允许您使用本地部署的模型（如Ollama）或其他厂商的模型服务。

使用场景

• 本地部署模型：使用Ollama、LocalAI等本地大模型服务，无需API Key，数据不出本地
• 企业私有模型：使用公司内部部署的模型服务，保障数据安全
• 其他云服务商：使用其他支持OpenAI兼容格式的模型服务

配置步骤

1. 填写API URL：在配置页面的“URL：”输入框中填写您的API端点地址
   • 示例（Ollama）：http://localhost:11434/v1/chat/completions
   • 示例（自定义服务）：https://api.your-company.com/v1/chat/completions
2. 填写API Key（可选）：
   • 如果您的API需要认证，在“KEY：”输入框填写API Key
   • 如果使用本地模型（如Ollama），可留空
3. 填写模型名称：在模型输入框中填写您要使用的模型名称（使用自定义API时，可填写任意模型名称）
4. 启用AI：勾选“启用AI”复选框

API格式要求

自定义API必须兼容OpenAI的/v1/chat/completions格式：

请求格式：

{
    "model": "your-model-name",
    "messages": [
        {"role": "system", "content": "..."},
        {"role": "user", "content": "..."}
    ]
}

响应格式：

{
    "choices": [{
        "message": {
            "content": "{\"res\":\"true\",\"reason\":\"...\"}"
        }
    }]
}

使用示例

示例1：使用Ollama本地模型

URL：http://localhost:11434/v1/chat/completions
KEY：（留空）
模型：llama3

示例2：使用企业私有模型

URL：https://api.company.com/v1/chat/completions
KEY：sk-xxxxxxxxxxxxx
模型：company-model-v2

示例3：使用其他云服务商

URL：https://api.provider.com/v1/chat/completions
KEY：your-api-key-here
模型：provider-model-name

注意事项

• ⚠️ 确保您的API端点支持OpenAI兼容格式
• ⚠️ 如果API需要认证，请确保API Key正确
• ⚠️ 使用自定义API时，模型名称可以是任意字符串，会原样传递给API
• 🌟 使用本地模型时，数据不会离开您的环境，适合敏感数据场景

⛪ Discussion

• 欢迎讨论任何关于工具相关的问题点我
• Bug反馈或新功能建议点我
• 欢迎PR
• 微信公众号：扫码关注不懂安全获取更多安全分享

  

🤗 鸣谢

本产品基于Autorize插件开发，感谢Barak Tawily。

📑 Licenses

在原有协议基础之上追加以下免责声明。若与原有协议冲突均以免责声明为准。

在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。禁止用于未经授权的渗透测试，禁止二次开发后进行未经授权的渗透测试。

如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，开发者将不承担任何法律及连带责任。

在使用本工具前，请您务必审慎阅读、充分理解各条款内容，限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束。

AutorizePro 快速上手指南

AutorizePro 是一款专为 Burp Suite 设计的越权检测插件，内置 AI 分析模块，可大幅降低误报率，提升黑盒测试与 SRC 挖掘效率。

1. 环境准备

在开始之前，请确保您的系统已安装以下软件：

• Burp Suite: 推荐最新版本（测试环境：Burp Suite 2024.11+）。
  • 下载地址：PortSwigger 官网
• Jython Standalone: 必须安装 Jython 以支持 Python 插件。
  • 推荐版本：jython-standalone-2.7.3.jar
  • 下载地址：Jython 官网
• Java 环境: 确保已安装与 Burp Suite 匹配的 JDK（如 Java 22）。

2. 安装步骤

第一步：配置 Burp Suite Python 环境

1. 启动 Burp Suite。
2. 导航至 Extender -> Options 选项卡。
3. 在 Python Environment 区域，点击 Select File。
4. 选择您下载的 jython-standalone-2.7.3.jar 文件。

第二步：加载 AutorizePro 插件

1. 从 GitHub 仓库下载最新发布的 zip 包并解压到本地（注意：解压路径不能包含中文字符，否则会导致安装失败）。
2. 在 Burp Suite 中，导航至 Extender -> Extensions -> Add。
3. 配置如下：
   • Extension Type: 选择 python。
   • Extension file: 点击 Select File，选择解压目录中的 AutorizePro.py 文件。
4. 点击 Next 完成安装。安装成功后，界面顶部会出现 AutorizePro 选项卡。

3. 基本使用

核心配置流程

1. 进入配置页：点击顶部菜单栏的 AutorizePro -> Configuration。
2. 设置鉴权头：
   • 抓取一个已登录用户的请求。
   • 将其 Cookie 或 Authorization 头复制到配置页中标记为 Insert injected header here 的文本框中。
   • 注：插件会自动替换或添加该头部以模拟低权限用户访问。
3. 配置拦截范围（重要）：
   • 切换到 Interception Filters 标签页。
   • 添加目标域名的白名单规则，避免检测非目标站点导致 Cookie 泄露或产生不必要的 AI 费用。
   • 提示：工具默认已排除静态资源、HTML 页面及错误状态码请求。
4. 启用 AI 分析（可选但推荐）：
   • 勾选 Enable AI 复选框。
   • 默认模型：选择厂商模型并填入 API Key。
   • 自定义模型：在 URL 填入兼容 OpenAI 格式的端点（如本地 Ollama: http://localhost:11434/v1/chat/completions），填入模型名称。
5. 启动检测：
   • 点击主界面左上角的 AutorizePro is off 按钮，使其变为 AutorizePro is on（绿色）。
   • 在 Burp 中正常浏览目标站点，插件将自动拦截并分析请求。

结果查看与分析

检测开始后，请在 AutorizePro 主界面左侧查看实时结果列表：

• Bypassed! (红色)：判定存在越权漏洞。
• Enforced! (绿色)：判定权限控制正常，无越权。
• Is enforced??? (黄色)：无法自动判断，需人工介入或配置增强规则。

详细分析操作：

1. 点击左侧列表中的任意一条 URL。
2. 在右侧 Request/Response Viewers 标签页中，可对比查看：
   • Original: 原始请求。
   • Injected: 替换身份后的越权测试请求。
   • Unauthenticated: 未授权测试请求（若开启）。
3. 若启用了 AI，可在 AI. Analyzer 列查看 AI 判定的具体原因，辅助人工复核。

导出报告

测试完成后，支持在配置页面导出测试结果，格式包括 HTML 和 CSV，便于生成漏洞报告。