[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"tool-WuliRuler--AutorizePro":3,"similar-WuliRuler--AutorizePro":131},{"id":4,"github_repo":5,"name":6,"description_en":7,"description_zh":8,"ai_summary_zh":8,"readme_en":9,"readme_zh":10,"quickstart_zh":11,"use_case_zh":12,"hero_image_url":13,"owner_login":14,"owner_name":15,"owner_avatar_url":16,"owner_bio":17,"owner_company":17,"owner_location":17,"owner_email":17,"owner_twitter":17,"owner_website":17,"owner_url":18,"languages":19,"stars":28,"forks":29,"last_commit_at":30,"license":31,"difficulty_score":32,"env_os":33,"env_gpu":34,"env_ram":34,"env_deps":35,"category_tags":41,"github_topics":47,"view_count":32,"oss_zip_url":17,"oss_zip_packed_at":17,"status":66,"created_at":67,"updated_at":68,"faqs":69,"releases":100},5672,"WuliRuler\u002FAutorizePro","AutorizePro","🧿 AutorizePro是一款强大越权检测 Burp 插件，通过增加 AI 辅助分析 && 进一步优化检测逻辑，大幅降低误报率，提升越权漏洞检出效率。    [ AutorizePro is a authorization enforcement detection extension for burp suite. By  adding Ai-assisted analysis, it significantly reduces the false positive rate and improves the efficiency of vulnerability detection.","AutorizePro 是一款专为网络安全测试人员设计的 Burp Suite 插件，专注于高效检测越权漏洞。在传统黑盒测试中，人工验证权限逻辑耗时巨大，而现有自动化工具往往因误报率过高（可达 95%）而难以落地。AutorizePro 通过引入可选的 AI 辅助分析模块，智能研判接口响应，将误报率显著降低至 5% 左右，极大释放了安全研究人员在繁琐筛选上的精力，让漏洞挖掘效率提升十倍。\n\n该工具特别适合渗透测试工程师、白帽黑客及企业安全团队使用。其核心亮点在于灵活的 AI 集成能力：不仅支持接入主流云厂商的大模型 API，还完美兼容本地部署方案（如 Ollama），确保敏感数据不出内网，满足企业对数据保密性的严苛要求。此外，AutorizePro 内置了智能过滤机制，能自动排除静态资源与无效请求，并提供详细的判定日志与多格式报告导出功能。无论是面对复杂的业务接口，还是需要进行大规模的自动化扫描，AutorizePro 都能以“常规检测 +AI 复核”的双重模式，帮助用户更精准、更快速地发现潜在的安全风险。","![image](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_343526f74659.png)\n\n- [English README IS HERE](https:\u002F\u002Fgithub.com\u002Fsule01u\u002FAutorizePro\u002Fblob\u002Fmaster\u002FREADME_en.md)\n\n# 🧿 AutorizePro (内置AI分析模块 ❤️‍🔥):  \n### 一句话介绍工具： AutorizePro 是一款创新性的内置AI分析模块的专注于越权检测的 Burp 插件 (已有多个白帽反馈用工具嘎嘎挖到src洞,  欢迎Star🌟跟踪项目,仓库迁移痛失之前600+star🌟)\n> **🟣️ 未启用 AI 时为常规检测逻辑，AI 为可选项。面对复杂多变的接口响应，启用 AI 可以大幅提升效率与准确率。时间宝贵，让 AI 替你十倍速挖洞！**\n\n### 工具背景\n- **越权漏洞是黑盒测试与 SRC 挖掘中必测项，但手工逐个验证耗时巨大。**\n- **传统越权检测工具难以自动化覆盖多样化接口逻辑，误报率高，实用性弱。**\n\n### 工具亮点\n- **内置 AI 分析模块(可选项) ，将工具原始误报率从 95% 降低至 5% ，从大量误报分析中解脱出来**\n- **保密性：支持配置为公司内部部署模型进行分析**\n- **🌟 支持自定义 API：可配置任意 OpenAI 兼容的 API 端点，支持本地部署模型（如 Ollama）或其他厂商模型**\n- **工具默认排除静态资源、html页面、错误状态码等非接口资源，无需人工配置**\n- **支持导出越权测试报告，支持html、csv格式**\n- **工具日志可查看每个接口 AI 判定的原因，方便反馈调优**\n\n\n## 🔧 安装AutorizePro\n### 1️⃣ 下载 Burp Suite 和 Jython\n\n    1. 下载 Burp Suite：https:\u002F\u002Fportswigger.net\u002Fburp\u002Freleases\n    2. 下载 Jython standalone JAR 文件：https:\u002F\u002Fwww.jython.org\u002Fdownload.html\n\n### 2️⃣ 配置 Burp Suite 的 Python 环境\n\n\t1. 打开 Burp Suite\n\t2. 导航到 Extender -> Options\n\t3. 在 Python Environment 部分，点击 Select File\n\t4. 选择你刚刚下载的 Jython standalone JAR 文件 (本项目测试环境为: jython 2.7.3, burp suite 2024.11（自带的java版本为java22）)\n\n### 3️⃣ 安装 AutorizePro 插件\n\t1. 下载代码仓库最新版本的发布zip包到本地，解压\n\t2. 打开 Burp Suite，导航到 Extender -> Extensions -> Add\n\t3. 在 Extension Type 选择框中，选择python\n\t4. 在 Extension file 选择框中，选择代码仓库中 AutorizePro.py 文件路径 (注意路径不能有中文，否则安装失败)\n\n### AutorizePro 插件安装完成界面 🎉\n> 💡 你可通过拉动中间的侧边栏任意调整展示页和配置页的显示比例；配置界面可通过上下拉动分界线任意调整配置页面比例；\n\n![cover](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_089e23310542.png)\n\n## 🔫 使用 AutorizePro 插件\n    1. 打开配置选项卡：点击 AutorizePro -> Configuration。\n    \n    2. 将第二个账户认证头复制到标有 “Insert injected header here” 的文本框中。注意：如果请求中已经包含了该头部，插件会替换现有的头部，否则会添加新头部。\n    \n    3. 如果不需要进行未授权的测试（即不带任何 cookie 的请求），可以取消勾选 Check unauthenticated (默认开启未授权检测)。\n    \n    4. 配置 AI 分析：\n       - **使用默认 API**：选择模型，填写对应 API Key，勾选\"启用 AI\"复选框\n       - **使用自定义 API**：在 URL 输入框填写自定义 API 地址（如 `http:\u002F\u002Flocalhost:11434\u002Fv1\u002Fchat\u002Fcompletions`），填写 API Key（如不需要可留空），输入模型名称，勾选\"启用 AI\"复选框\n       - AI 分析结果将展示在左侧 AI. Analyzer 列\n    \n    5. 点击 AutorizePro is off 按钮启用插件，即可开始测试。\n    \n    6. 在 AutorizePro 插件的左侧结果展示界面中，你将看到请求的 URL 和 对应的权限检查状态。\n    \n    7. 点击左侧展示页面的某个 URL，点击右侧 Request\u002FResppnse Viewers Tab页，即可查看选中项的 原始 && 越权 && 未授权 测试的请求\u002F响应，可人工查验。\n\n###  🌠 使用效果示例\n>  🌟 大幅降低误报: 从下图中可以看出，启用AI分析后，你只需要去分析一个请求是否真正越权，人工投入的分析精力节约95%以上。\n\n> ⬇️ 替换cookie方式测试越权\n\n![eg](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_33dbe09d507f.png)\n\n> ⬇️ 替换参数方式测试越权\n\n![eg](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_f3cce23b2d02.png)\n\n> 查看选中条目的具体请求信息，可同时展示越权请求、原始请求、未授权请求，方便对比差异\n\n![response](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_ea2c0c034d33.png)\n\n\n### ❓检测状态说明\n- **Bypassed! (红色) : 判定越权**\n\n- **Enforced! (绿色) : 判定不存在越权**\n\n- **Is enforced???: 无法判断，可以在 enforcement detector\u002F已鉴权规则 中配置越权特征协助判断**\n\n### 🚰 过滤器配置：在 Interception Filters\u002F 请求过滤规则 中配置拦截规则\n- 拦截过滤器位可以配置插件 需要拦截哪些域名 或 拦截符合指定特征的请求。\n- 支持黑名单、白名单、正则表达式或 Burp 的范围内的项目来确定拦截的范围，以避免不必要的域名被 AutorizePro 拦截，避免对无关请求的拦截分散分析精力。\n- ⚠️ **安全提示：因为工具涉及cookie替换重放，强烈建议 在 Interception Filters 指定目标的站点，以免cookie泄漏至其他站点**\n- 🌟 工具默认忽略静态资源、html、错误响应等类型请求的分析，无需用户配置。\n\n##  💰 AI分析功能需要花多少钱？(需勾选复选框之后才会启用AI分析)\n- 启用AI分析之后仅自动检测 (状态码相等 && 响应为json格式 && 响应长度在50-6000 的数据包)，减少不必要的AI分析带来的经费消耗。\n-  ⚠️ 注意：当启用AI分析功能时，您应该尽量在 Interception Filters 中配置拦截的 域名 \u002F 规则，以免检测非目标站点带来的经费消耗。\n- 🌟 支持多家厂商模型接入，要使用其他模型，请自行开通对应的服务以及申请API KEY，使用时填写API KEY + 选择对应厂商的模型即可。\n- eg:   阿里云\n    - AI分析功能需要先开通模型调用服务，在 [阿里云百炼首页顶部提示](https:\u002F\u002Fbailian.console.aliyun.com\u002F#\u002Fhome) 进行开通：\n![tongyi](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_b6484f2c9532.png)\n    - [阿里云通义千问API计费说明，新开通的都有 100万tokens 的免费额度](https:\u002F\u002Fhelp.aliyun.com\u002Fzh\u002Fmodel-studio\u002Fbilling-for-model-studio) ( 个人测试消耗示例：在插件开发调试期间全天较高频率测试且没有限制域名，全天消耗总费用**0.38元**)\n\n## 🌐 自定义 API 配置（支持本地模型和其他厂商）\nAutorizePro 支持配置自定义 API 端点，允许您使用本地部署的模型（如 Ollama）或其他厂商的模型服务。\n\n### 使用场景\n- **本地部署模型**：使用 Ollama、LocalAI 等本地大模型服务，无需 API Key，数据不出本地\n- **企业私有模型**：使用公司内部部署的模型服务，保障数据安全\n- **其他云服务商**：使用其他支持 OpenAI 兼容格式的模型服务\n\n### 配置步骤\n1. **填写 API URL**：在配置页面的 \"URL:\" 输入框中填写您的 API 端点地址\n   - 示例（Ollama）：`http:\u002F\u002Flocalhost:11434\u002Fv1\u002Fchat\u002Fcompletions`\n   - 示例（自定义服务）：`https:\u002F\u002Fapi.your-company.com\u002Fv1\u002Fchat\u002Fcompletions`\n2. **填写 API Key**（可选）：\n   - 如果您的 API 需要认证，在 \"KEY:\" 输入框填写 API Key\n   - 如果使用本地模型（如 Ollama），可留空\n3. **填写模型名称**：在模型输入框中填写您要使用的模型名称（使用自定义 API 时，可填写任意模型名称）\n4. **启用 AI**：勾选\"启用 AI\"复选框\n\n### API 格式要求\n自定义 API 必须兼容 OpenAI 的 `\u002Fv1\u002Fchat\u002Fcompletions` 格式：\n\n**请求格式**：\n```json\n{\n    \"model\": \"your-model-name\",\n    \"messages\": [\n        {\"role\": \"system\", \"content\": \"...\"},\n        {\"role\": \"user\", \"content\": \"...\"}\n    ]\n}\n```\n\n**响应格式**：\n```json\n{\n    \"choices\": [{\n        \"message\": {\n            \"content\": \"{\\\"res\\\":\\\"true\\\",\\\"reason\\\":\\\"...\\\"}\"\n        }\n    }]\n}\n```\n\n### 使用示例\n\n**示例 1：使用 Ollama 本地模型**\n```\nURL: http:\u002F\u002Flocalhost:11434\u002Fv1\u002Fchat\u002Fcompletions\nKEY: （留空）\n模型: llama3\n```\n\n**示例 2：使用企业私有模型**\n```\nURL: https:\u002F\u002Fapi.company.com\u002Fv1\u002Fchat\u002Fcompletions\nKEY: sk-xxxxxxxxxxxxx\n模型: company-model-v2\n```\n\n**示例 3：使用其他云服务商**\n```\nURL: https:\u002F\u002Fapi.provider.com\u002Fv1\u002Fchat\u002Fcompletions\nKEY: your-api-key-here\n模型: provider-model-name\n```\n\n### 注意事项\n- ⚠️ 确保您的 API 端点支持 OpenAI 兼容格式\n- ⚠️ 如果 API 需要认证，请确保 API Key 正确\n- ⚠️ 使用自定义 API 时，模型名称可以是任意字符串，会原样传递给 API\n- 🌟 使用本地模型时，数据不会离开您的环境，适合敏感数据场景\n\n## ⛪ Discussion\n* 欢迎讨论任何关于工具相关的问题[点我](https:\u002F\u002Fgithub.com\u002Fsule01u\u002FAutorizePro\u002Fdiscussions)\n* Bug 反馈或新功能建议[点我](https:\u002F\u002Fgithub.com\u002Fsule01u\u002FAutorizePro\u002Fissues)\n* 欢迎 PR\n* 微信公众号: **扫码关注不懂安全获取更多安全分享**\n    \u003Cp>\n        \u003Cimg alt=\"QR-code\" src=\"https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_16ec1fa855aa.png\" width=\"30%\" height=\"30%\" style=\"max-width:20%;\">\n    \u003C\u002Fp>\n\n\n##  🤗 鸣谢\n**本产品基于 [Autorize](https:\u002F\u002Fgithub.com\u002FQuitten\u002FAutorize) 插件开发，感谢 Barak Tawily。**\n\n## 📑 Licenses\n\n在原有协议基础之上追加以下免责声明。若与原有协议冲突均以免责声明为准。\n\n\u003Cu>在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。 禁止用于未经授权的渗透测试，禁止二次开发后进行未经授权的渗透测试。\n\n如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，开发者将不承担任何法律及连带责任。\u003C\u002Fu> \n\n在使用本工具前，请您务必审慎阅读、充分理解各条款内容，限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。 除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束。\n","![image](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_343526f74659.png)\n\n- [英文README在此](https:\u002F\u002Fgithub.com\u002Fsule01u\u002FAutorizePro\u002Fblob\u002Fmaster\u002FREADME_en.md)\n\n# 🧿 AutorizePro（内置AI分析模块 ❤️‍🔥）：  \n### 工具一句话介绍：AutorizePro是一款创新性的内置AI分析模块的专注于越权检测的Burp插件（已有多个白帽反馈用工具嘎嘎挖到src洞，欢迎Star🌟跟踪项目，仓库迁移痛失之前600+star🌟）\n> **🟣️ 未启用AI时为常规检测逻辑，AI为可选项。面对复杂多变的接口响应，启用AI可以大幅提升效率与准确率。时间宝贵，让AI替你十倍速挖洞！**\n\n### 工具背景\n- **越权漏洞是黑盒测试与SRC挖掘中必测项，但手工逐个验证耗时巨大。**\n- **传统越权检测工具难以自动化覆盖多样化接口逻辑，误报率高，实用性弱。**\n\n### 工具亮点\n- **内置AI分析模块(可选项)，将工具原始误报率从95%降低至5%，从大量误报分析中解脱出来**\n- **保密性：支持配置为公司内部部署模型进行分析**\n- **🌟 支持自定义API：可配置任意OpenAI兼容的API端点，支持本地部署模型（如Ollama）或其他厂商模型**\n- **工具默认排除静态资源、HTML页面、错误状态码等非接口资源，无需人工配置**\n- **支持导出越权测试报告，支持HTML、CSV格式**\n- **工具日志可查看每个接口AI判定的原因，方便反馈调优**\n\n\n## 🔧 安装AutorizePro\n### 1️⃣ 下载Burp Suite和Jython\n\n    1. 下载Burp Suite：https:\u002F\u002Fportswigger.net\u002Fburp\u002Freleases\n    2. 下载Jython standalone JAR文件：https:\u002F\u002Fwww.jython.org\u002Fdownload.html\n\n### 2️⃣ 配置Burp Suite的Python环境\n\n\t1. 打开Burp Suite\n\t2. 导航到Extender -> Options\n\t3. 在Python Environment部分，点击Select File\n\t4. 选择你刚刚下载的Jython standalone JAR文件（本项目测试环境为：Jython 2.7.3，Burp Suite 2024.11（自带的Java版本为Java 22））\n\n### 3️⃣ 安装AutorizePro插件\n\t1. 下载代码仓库最新版本的发布ZIP包到本地，解压\n\t2. 打开Burp Suite，导航到Extender -> Extensions -> Add\n\t3. 在Extension Type选择框中，选择Python\n\t4. 在Extension file选择框中，选择代码仓库中AutorizePro.py文件路径（注意路径不能有中文，否则安装失败）\n\n### AutorizePro插件安装完成界面 🎉\n> 💡 你可通过拉动中间的侧边栏任意调整展示页和配置页的显示比例；配置界面可通过上下拉动分界线任意调整配置页面比例；\n\n![cover](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_089e23310542.png)\n\n## 🔫 使用AutorizePro插件\n    1. 打开配置选项卡：点击AutorizePro -> Configuration。\n    \n    2. 将第二个账户认证头复制到标有“Insert injected header here”的文本框中。注意：如果请求中已经包含了该头部，插件会替换现有的头部，否则会添加新头部。\n    \n    3. 如果不需要进行未授权的测试（即不带任何Cookie的请求），可以取消勾选Check unauthenticated（默认开启未授权检测）。\n    \n    4. 配置AI分析：\n       - **使用默认API**：选择模型，填写对应API Key，勾选“启用AI”复选框\n       - **使用自定义API**：在URL输入框填写自定义API地址（如`http:\u002F\u002Flocalhost:11434\u002Fv1\u002Fchat\u002Fcompletions`），填写API Key（如不需要可留空），输入模型名称，勾选“启用AI”复选框\n       - AI分析结果将展示在左侧AI.Analyzer列\n    \n    5. 点击AutorizePro is off按钮启用插件，即可开始测试。\n    \n    6. 在AutorizePro插件的左侧结果展示界面中，你将看到请求的URL和对应的权限检查状态。\n    \n    7. 点击左侧展示页面的某个URL，点击右侧Request\u002FResponse Viewers Tab页，即可查看选中项的原始&&越权&&未授权测试的请求\u002F响应，可人工查验。\n\n### 🌠 使用效果示例\n> 🌟 大幅降低误报：从下图中可以看出，启用AI分析后，你只需要去分析一个请求是否真正越权，人工投入的分析精力节约95%以上。\n\n> ⬇️ 替换Cookie方式测试越权\n\n![eg](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_33dbe09d507f.png)\n\n> ⬇️ 替换参数方式测试越权\n\n![eg](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_f3cce23b2d02.png)\n\n> 查看选中条目的具体请求信息，可同时展示越权请求、原始请求、未授权请求，方便对比差异\n\n![response](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_ea2c0c034d33.png)\n\n\n### ❓检测状态说明\n- **Bypassed!（红色）：判定越权**\n\n- **Enforced!（绿色）：判定不存在越权**\n\n- **Is enforced???：无法判断，可以在enforcement detector\u002F已鉴权规则中配置越权特征协助判断**\n\n### 🚰 过滤器配置：在Interception Filters\u002F请求过滤规则中配置拦截规则\n- 拦截过滤器位可以配置插件需要拦截哪些域名或拦截符合指定特征的请求。\n- 支持黑名单、白名单、正则表达式或Burp的范围内的项目来确定拦截的范围，以避免不必要的域名被AutorizePro拦截，避免对无关请求的拦截分散分析精力。\n- ⚠️ **安全提示：因为工具涉及Cookie替换重放，强烈建议在Interception Filters指定目标的站点，以免Cookie泄漏至其他站点**\n- 🌟 工具默认忽略静态资源、HTML、错误响应等类型请求的分析，无需用户配置。\n\n## 💰 AI分析功能需要花多少钱？（需勾选复选框之后才会启用AI分析）\n- 启用AI分析之后仅自动检测（状态码相等&&响应为JSON格式&&响应长度在50-6000的数据包），减少不必要的AI分析带来的经费消耗。\n- ⚠️ 注意：当启用AI分析功能时，您应该尽量在Interception Filters中配置拦截的域名\u002F规则，以免检测非目标站点带来的经费消耗。\n- 🌟 支持多家厂商模型接入，要使用其他模型，请自行开通对应的服务以及申请API KEY，使用时填写API KEY + 选择对应厂商的模型即可。\n- eg：阿里云\n    - AI分析功能需要先开通模型调用服务，在[阿里云百炼首页顶部提示](https:\u002F\u002Fbailian.console.aliyun.com\u002F#\u002Fhome)进行开通：\n![tongyi](https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_b6484f2c9532.png)\n    - [阿里云通义千问API计费说明，新开通的都有100万tokens的免费额度](https:\u002F\u002Fhelp.aliyun.com\u002Fzh\u002Fmodel-studio\u002Fbilling-for-model-studio)（个人测试消耗示例：在插件开发调试期间全天较高频率测试且没有限制域名，全天消耗总费用**0.38元**）\n\n## 🌐 自定义API配置（支持本地模型和其他厂商）\nAutorizePro支持配置自定义API端点，允许您使用本地部署的模型（如Ollama）或其他厂商的模型服务。\n\n### 使用场景\n- **本地部署模型**：使用Ollama、LocalAI等本地大模型服务，无需API Key，数据不出本地\n- **企业私有模型**：使用公司内部部署的模型服务，保障数据安全\n- **其他云服务商**：使用其他支持OpenAI兼容格式的模型服务\n\n### 配置步骤\n1. **填写API URL**：在配置页面的“URL：”输入框中填写您的API端点地址\n   - 示例（Ollama）：`http:\u002F\u002Flocalhost:11434\u002Fv1\u002Fchat\u002Fcompletions`\n   - 示例（自定义服务）：`https:\u002F\u002Fapi.your-company.com\u002Fv1\u002Fchat\u002Fcompletions`\n2. **填写API Key**（可选）：\n   - 如果您的API需要认证，在“KEY：”输入框填写API Key\n   - 如果使用本地模型（如Ollama），可留空\n3. **填写模型名称**：在模型输入框中填写您要使用的模型名称（使用自定义API时，可填写任意模型名称）\n4. **启用AI**：勾选“启用AI”复选框\n\n### API格式要求\n自定义API必须兼容OpenAI的`\u002Fv1\u002Fchat\u002Fcompletions`格式：\n\n**请求格式**：\n```json\n{\n    \"model\": \"your-model-name\",\n    \"messages\": [\n        {\"role\": \"system\", \"content\": \"...\"},\n        {\"role\": \"user\", \"content\": \"...\"}\n    ]\n}\n```\n\n**响应格式**：\n```json\n{\n    \"choices\": [{\n        \"message\": {\n            \"content\": \"{\\\"res\\\":\\\"true\\\",\\\"reason\\\":\\\"...\\\"}\"\n        }\n    }]\n}\n```\n\n### 使用示例\n\n**示例1：使用Ollama本地模型**\n```\nURL：http:\u002F\u002Flocalhost:11434\u002Fv1\u002Fchat\u002Fcompletions\nKEY：（留空）\n模型：llama3\n```\n\n**示例2：使用企业私有模型**\n```\nURL：https:\u002F\u002Fapi.company.com\u002Fv1\u002Fchat\u002Fcompletions\nKEY：sk-xxxxxxxxxxxxx\n模型：company-model-v2\n```\n\n**示例3：使用其他云服务商**\n```\nURL：https:\u002F\u002Fapi.provider.com\u002Fv1\u002Fchat\u002Fcompletions\nKEY：your-api-key-here\n模型：provider-model-name\n```\n\n### 注意事项\n- ⚠️ 确保您的API端点支持OpenAI兼容格式\n- ⚠️ 如果API需要认证，请确保API Key正确\n- ⚠️ 使用自定义API时，模型名称可以是任意字符串，会原样传递给API\n- 🌟 使用本地模型时，数据不会离开您的环境，适合敏感数据场景\n\n## ⛪ Discussion\n* 欢迎讨论任何关于工具相关的问题[点我](https:\u002F\u002Fgithub.com\u002Fsule01u\u002FAutorizePro\u002Fdiscussions)\n* Bug反馈或新功能建议[点我](https:\u002F\u002Fgithub.com\u002Fsule01u\u002FAutorizePro\u002Fissues)\n* 欢迎PR\n* 微信公众号：**扫码关注不懂安全获取更多安全分享**\n    \u003Cp>\n        \u003Cimg alt=\"QR-code\" src=\"https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_readme_16ec1fa855aa.png\" width=\"30%\" height=\"30%\" style=\"max-width:20%;\">\n    \u003C\u002Fp>\n\n\n## 🤗 鸣谢\n**本产品基于[Autorize](https:\u002F\u002Fgithub.com\u002FQuitten\u002FAutorize)插件开发，感谢Barak Tawily。**\n\n## 📑 Licenses\n\n在原有协议基础之上追加以下免责声明。若与原有协议冲突均以免责声明为准。\n\n\u003Cu>在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。禁止用于未经授权的渗透测试，禁止二次开发后进行未经授权的渗透测试。\n\n如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，开发者将不承担任何法律及连带责任。\u003C\u002Fu> \n\n在使用本工具前，请您务必审慎阅读、充分理解各条款内容，限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束。\u003C\u002Fu>","# AutorizePro 快速上手指南\n\nAutorizePro 是一款专为 Burp Suite 设计的越权检测插件，内置 AI 分析模块，可大幅降低误报率，提升黑盒测试与 SRC 挖掘效率。\n\n## 1. 环境准备\n\n在开始之前，请确保您的系统已安装以下软件：\n\n*   **Burp Suite**: 推荐最新版本（测试环境：Burp Suite 2024.11+）。\n    *   下载地址：[PortSwigger 官网](https:\u002F\u002Fportswigger.net\u002Fburp\u002Freleases)\n*   **Jython Standalone**: 必须安装 Jython 以支持 Python 插件。\n    *   推荐版本：`jython-standalone-2.7.3.jar`\n    *   下载地址：[Jython 官网](https:\u002F\u002Fwww.jython.org\u002Fdownload.html)\n*   **Java 环境**: 确保已安装与 Burp Suite 匹配的 JDK（如 Java 22）。\n\n## 2. 安装步骤\n\n### 第一步：配置 Burp Suite Python 环境\n\n1.  启动 Burp Suite。\n2.  导航至 `Extender` -> `Options` 选项卡。\n3.  在 **Python Environment** 区域，点击 `Select File`。\n4.  选择您下载的 `jython-standalone-2.7.3.jar` 文件。\n\n### 第二步：加载 AutorizePro 插件\n\n1.  从 GitHub 仓库下载最新发布的 `zip` 包并解压到本地（**注意：解压路径不能包含中文字符**，否则会导致安装失败）。\n2.  在 Burp Suite 中，导航至 `Extender` -> `Extensions` -> `Add`。\n3.  配置如下：\n    *   **Extension Type**: 选择 `python`。\n    *   **Extension file**: 点击 `Select File`，选择解压目录中的 `AutorizePro.py` 文件。\n4.  点击 `Next` 完成安装。安装成功后，界面顶部会出现 `AutorizePro` 选项卡。\n\n## 3. 基本使用\n\n### 核心配置流程\n\n1.  **进入配置页**：点击顶部菜单栏的 `AutorizePro` -> `Configuration`。\n2.  **设置鉴权头**：\n    *   抓取一个已登录用户的请求。\n    *   将其 Cookie 或 Authorization 头复制到配置页中标记为 `Insert injected header here` 的文本框中。\n    *   *注：插件会自动替换或添加该头部以模拟低权限用户访问。*\n3.  **配置拦截范围（重要）**：\n    *   切换到 `Interception Filters` 标签页。\n    *   添加目标域名的白名单规则，避免检测非目标站点导致 Cookie 泄露或产生不必要的 AI 费用。\n    *   *提示：工具默认已排除静态资源、HTML 页面及错误状态码请求。*\n4.  **启用 AI 分析（可选但推荐）**：\n    *   勾选 `Enable AI` 复选框。\n    *   **默认模型**：选择厂商模型并填入 API Key。\n    *   **自定义模型**：在 `URL` 填入兼容 OpenAI 格式的端点（如本地 Ollama: `http:\u002F\u002Flocalhost:11434\u002Fv1\u002Fchat\u002Fcompletions`），填入模型名称。\n5.  **启动检测**：\n    *   点击主界面左上角的 `AutorizePro is off` 按钮，使其变为 `AutorizePro is on`（绿色）。\n    *   在 Burp 中正常浏览目标站点，插件将自动拦截并分析请求。\n\n### 结果查看与分析\n\n检测开始后，请在 `AutorizePro` 主界面左侧查看实时结果列表：\n\n*   **Bypassed! (红色)**：判定存在越权漏洞。\n*   **Enforced! (绿色)**：判定权限控制正常，无越权。\n*   **Is enforced??? (黄色)**：无法自动判断，需人工介入或配置增强规则。\n\n**详细分析操作**：\n1.  点击左侧列表中的任意一条 URL。\n2.  在右侧 `Request\u002FResponse Viewers` 标签页中，可对比查看：\n    *   **Original**: 原始请求。\n    *   **Injected**: 替换身份后的越权测试请求。\n    *   **Unauthenticated**: 未授权测试请求（若开启）。\n3.  若启用了 AI，可在 `AI. Analyzer` 列查看 AI 判定的具体原因，辅助人工复核。\n\n### 导出报告\n\n测试完成后，支持在配置页面导出测试结果，格式包括 `HTML` 和 `CSV`，便于生成漏洞报告。","某安全团队在对一家大型电商平台进行黑盒渗透测试时，面临数百个涉及用户订单、地址管理的复杂 API 接口，急需高效验证越权漏洞。\n\n### 没有 AutorizePro 时\n- **人工验证耗时巨大**：测试人员需手动替换 Cookie 逐个重放请求，面对成百上千个接口，仅初步筛选就耗费数天时间。\n- **误报率极高干扰判断**：传统自动化脚本无法理解业务逻辑，将大量正常的“无权限提示”或“空数据返回”误判为漏洞，误报率高达 95%。\n- **复杂逻辑难以覆盖**：对于返回 JSON 结构多变或依赖特定参数组合的接口，规则引擎往往失效，导致深层越权问题被遗漏。\n- **报告整理繁琐**：发现疑似点后，需人工截图、记录请求响应差异并编写报告，极易出错且效率低下。\n\n### 使用 AutorizePro 后\n- **AI 辅助秒级初筛**：启用内置 AI 分析模块后，AutorizePro 自动理解响应语义，将误报率从 95% 降至 5%，测试人员只需复核极少数真实风险。\n- **智能识别复杂场景**：针对电商特有的订单详情、地址编辑等接口，AI 能精准区分“数据为空”与“越权访问”，大幅提升检出准确率。\n- **可视化对比分析**：点击即可同屏查看原始请求、越权请求及未授权请求的响应差异，结合 AI 判定的详细理由，验证过程一目了然。\n- **一键生成审计报告**：测试结束后直接导出 HTML 或 CSV 格式报告，包含完整的漏洞证据链，大幅缩短交付周期。\n\nAutorizePro 通过 AI 深度赋能，将原本需要数天的人工越权排查工作压缩至几小时，让安全专家从繁琐的误报清洗中解放出来，专注于高价值漏洞挖掘。","https:\u002F\u002Foss.gittoolsai.com\u002Fimages\u002FWuliRuler_AutorizePro_089e2331.png","WuliRuler","米饺","https:\u002F\u002Foss.gittoolsai.com\u002Favatars\u002FWuliRuler_bdd2d177.jpg",null,"https:\u002F\u002Fgithub.com\u002FWuliRuler",[20,24],{"name":21,"color":22,"percentage":23},"Python","#3572A5",99.6,{"name":25,"color":26,"percentage":27},"HTML","#e34c26",0.4,582,35,"2026-04-01T14:34:01","Apache-2.0",2,"Windows, macOS, Linux","未说明",{"notes":36,"python":37,"dependencies":38},"该工具是 Burp Suite 插件，非独立运行程序。核心依赖为 Burp Suite（测试环境为 2024.11，自带 Java 22）和 Jython 2.7.3。AI 分析功能为可选项，支持配置任意 OpenAI 兼容的 API 端点（如阿里云、Ollama 本地部署等），若使用本地模型则需满足对应模型的硬件需求，插件本身无特定 GPU 或内存要求。安装时文件路径不能包含中文字符。","Jython 2.7.3 (基于 Java)",[39,40],"Burp Suite","Jython Standalone JAR",[42,43,44,45,46],"插件","图像","开发框架","语言模型","Agent",[48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65],"authorization","broken-access-control","burp-extensions","burpsuite","security-tools","unauthorized","unauthorized-access-tool","bounty-hunters","bounty-hunting-tools","bugbounty","pentest-tool","pentesting","sdlc-tools","vulnerability-detection","ai","llm","idor","idor-vulnerability","ready","2026-03-27T02:49:30.150509","2026-04-09T05:23:55.242147",[70,75,80,85,90,95],{"id":71,"question_zh":72,"answer_zh":73,"source_url":74},25727,"安装插件时遇到 ClassCastException 或 NoClassDefFoundError 报错怎么办？","这通常是由于环境版本不一致导致的。请确保使用以下测试通过的环境配置：\n1. Jython 版本：jython-standalone 2.7.3（下载地址：https:\u002F\u002Fcentral.sonatype.com\u002Fartifact\u002Forg.python\u002Fjython-standalone\u002Fversions）\n2. Burp Suite 版本：2024.9（自带 Java 21）\n3. 如果报错涉及 Guava 库缺失（NoClassDefFoundError: com\u002Fgoogle\u002Fcommon\u002Fcollect\u002FMapMaker），请检查 Burp 运行环境中是否包含 guava-x.x.x.jar。若缺失，可从 Maven Repository 下载最新稳定版（推荐 guava-31.1-jre 或更高）并添加到 ClassPath。\n4. 尝试使用较低版本的 Java（如 Java 11）运行，避免仅使用系统默认的 Java 21。","https:\u002F\u002Fgithub.com\u002FWuliRuler\u002FAutorizePro\u002Fissues\u002F7",{"id":76,"question_zh":77,"answer_zh":78,"source_url":79},25728,"插件的替换规则是否支持替换 GET 请求参数（URI 参数）？","是的，该功能已在 V1.5 版本中更新支持。此前版本可能仅支持替换 POST 请求参数，升级至 V1.5 或更高版本后，即可在替换规则中同时支持替换 URI 参数和响应体（Response Body）参数。","https:\u002F\u002Fgithub.com\u002FWuliRuler\u002FAutorizePro\u002Fissues\u002F28",{"id":81,"question_zh":82,"answer_zh":83,"source_url":84},25729,"为什么原始响应和修改后响应内容完全一样时，插件标记为绿色（非越权），而实际上应该是越权？","插件目前的判断逻辑如下，请检查是否符合您的场景：\n1. 仅对响应内容为 JSON 或 XML 格式的请求进行深度分析。\n2. 仅关注状态码为 2xx 或 3xx 的响应。\n3. 为了节约 AI 调用成本，仅对响应长度在 50 到 7000 字节之间的内容进行 AI 分析。\n如果不满足上述条件（例如响应长度超出范围或格式不符），插件可能会直接判定为非越权（绿色）。如果符合所有条件但仍误判，请拉取最新的代码更新（git pull），开发者已针对对象格式 JSON 等情况进行了修复。","https:\u002F\u002Fgithub.com\u002FWuliRuler\u002FAutorizePro\u002Fissues\u002F26",{"id":86,"question_zh":87,"answer_zh":88,"source_url":89},25730,"安装插件后 AI 检测功能无法使用，控制台无报错且未发出 API 请求，如何解决？","这是一个已知但难以复现的问题。建议尝试以下步骤排查：\n1. 确保 Jython 更新到最新版本。\n2. 尝试更换 JDK 版本（有用户反馈使用 JDK 22 或其他版本）。\n3. 更换不同的 AI API Key（如通义千问 Key）进行测试。\n4. 检查 Authz Status 列的显示逻辑，注意新版本与旧版 Autorize 在响应长度相同情况下的判定逻辑可能有所不同。\n如果以上方法均无效，目前官方尚未找到通用解决方案，建议关注后续更新或提交详细的复现步骤。","https:\u002F\u002Fgithub.com\u002FWuliRuler\u002FAutorizePro\u002Fissues\u002F12",{"id":91,"question_zh":92,"answer_zh":93,"source_url":94},25731,"每次重启 Burp Suite 都需要重新输入 API Key，如何保存配置？","这是用户反馈的一个痛点问题。虽然当前 Issue 主要描述了现象，但通常此类问题可以通过检查插件设置界面是否有\"Save Configuration\"或\"Persist Settings\"选项来解决。如果界面无此选项，可能需要手动编辑 Burp 的配置文件或将插件配置导出保存，待下次启动时导入。建议查看插件最新版本的发布说明，看是否已修复此持久化存储问题。","https:\u002F\u002Fgithub.com\u002FWuliRuler\u002FAutorizePro\u002Fissues\u002F34",{"id":96,"question_zh":97,"answer_zh":98,"source_url":99},25732,"插件是否支持调用本地部署的大模型或第三方 Open API？","用户曾提出需要兼容 Open API 以支持本地部署大模型（不出网场景）的需求。目前插件内置的 API 配置可能是写死的。如果需要调用自定义端点，建议查看插件源代码中关于 HTTP 请求发送的部分，或者等待开发者在后续版本中增加自定义 API Base URL 的配置选项。对于高级用户，可以直接修改源码以适应本地 API 地址。","https:\u002F\u002Fgithub.com\u002FWuliRuler\u002FAutorizePro\u002Fissues\u002F35",[101,106,111,116,121,126],{"id":102,"version":103,"summary_zh":104,"released_at":105},163063,"V1.5","### V1.5 版本更新内容\n- 解决多个issue\n- 增加中文界面支持：可通过按钮“EN\u002F中”进行中英文界面切换\n- AI模型支持自定义输入（暂支持部分厂商下模型）\n- 认证头支持用户配置（越权按照指定认证头进行替换 && 未授权时可准确移除指定的认证头）\n- 【匹配 \u002F 替换】支持url位置字符的匹配替换\n- 【保存 \u002F 恢复】通过add按钮添加多个账号认证配置时，保存\u002F恢复配置列目前可支持多账号配置的保存和还原\n- 【保存 \u002F 恢复】报告增加AI分析列结果、支持勾选去除重复项\n\n\n>  **📌 欢迎继续通过 issue \u002F email 反馈你的使用效果, 让我们一起持续优化工具**\n---\nV1.5 更新说明\n- 修复了多个问题。\n- 新增中文界面支持：用户可通过“EN\u002F中”切换按钮在中英文界面之间自由切换。\n- 支持AI模型自定义输入（目前仅适用于部分厂商提供的模型）。\n- 授权头支持用户自定义配置：可在权限校验时替换为指定的授权头，并在未授权请求中精准移除指定的授权头。\n- 【匹配 \u002F 替换】支持在URL路径中进行字符匹配与替换操作。\n- 【保存 \u002F 恢复】当通过“Add”按钮添加多个账号认证配置时，保存\u002F恢复功能现可支持多账号配置的管理与还原。\n- 【保存 \u002F 恢复】报告新增AI分析结果列，并支持通过勾选去除重复项。 \n\n📌 欢迎您通过提交Issue或发送邮件反馈使用体验，让我们携手持续优化这款工具！","2025-06-15T11:42:29",{"id":107,"version":108,"summary_zh":109,"released_at":110},163064,"v1.4","### V1.4 版本更新内容\n- 修复了若干 bug\n- 删除了使用 AI 进行公共接口过滤的逻辑，通过增加误报来降低漏报\n- 增加了对 URI 中路径替换的支持：例如，对于 `https:\u002F\u002Fxxxx.com\u002Faaa`，若设置替换规则为 `path:aaa=bbb`，则重放请求将变为 `https:\u002F\u002Fxxxx.com\u002Fbbb`\n- 优化了参数替换越权逻辑：当启用参数替换测试越权模式时，如果请求未发生参数替换（即两次请求完全相同），则直接返回“强制执行”结果；只有在参数发生变化的情况下才会进行下一步的分析和对比。（这也间接地成功排除了公共接口）\n- 去除了对绕过状态码必须相等的判断逻辑。现在，只要状态码在 `200` 和 `30x` 范围内，就被视为正常，并按照后续逻辑进行响应对比，从而避免了对 `3xx` 状态码的漏报\n\n\n>  **📌 欢迎继续通过 issue \u002F email 反馈你的使用效果, 让我们一起持续优化工具**\n---\n### V1.4 更新说明\n- 修复了若干 bug\n- 移除了基于 AI 的公共接口过滤逻辑。这一改动虽然会增加误报率，但能够有效减少漏报。\n- 新增了对 URI 中路径替换的支持：例如，对于 `https:\u002F\u002Fxxxx.com\u002Faaa`，若使用替换规则 `path:aaa=bbb`，则重放后的请求将变为 `https:\u002F\u002Fxxxx.com\u002Fbbb`。\n- 优化了参数替换权限验证逻辑：当启用参数替换测试模式时，如果两次请求完全相同（即未发生任何参数替换），系统会立即判定为“强制执行”；只有在参数发生变化的情况下，才会进入下一步的分析与对比。（这也在一定程度上间接排除了公共接口的影响）\n- 去掉了对绕过状态码必须完全相同的判断逻辑。现在，只要状态码属于 `200` 或 `30x` 范围内，就被视为有效状态码，并按后续流程进行响应对比，从而避免了对 `3xx` 状态码的漏判。\n\n\n> **📌 欢迎继续通过 issues 或邮件反馈您的使用体验，让我们携手不断优化这款工具**","2024-12-08T13:28:18",{"id":112,"version":113,"summary_zh":114,"released_at":115},163065,"v1.3","### V1.3 版本发布说明\r\n- 新增支持通过参数替换的方式测试越权 ( 即相同cookie请求不同资源 ) \r\n- 新增对参数测试越权方式接入AI分析，结果同样显示在AI. Analyzer列\r\n- 新增多个主流模型支持，用户只需选择模型并填写对应的api-key即可使用\r\n- 根据历史 bad case 优化模型越权分析的 prompt\r\n- 为AI分析增加友好格式(json)的日志打印，你可以在插件安装界面的控制台 或 保存到指定文件查看（也方便大家反馈具体的bad case细节以提升分析准确性）\r\n\r\n>  **📌 欢迎继续通过 issue \u002F email 反馈你的使用效果**\r\n---\r\n### V1.3 发行说明\r\n- 增加了通过参数替换方式测试权限绕过的功能（即使用相同的Cookie请求不同的资源）。\r\n- 集成了基于参数的权限绕过测试的AI分析功能，分析结果将显示在**AI Analyzer**列中。\r\n- 新增支持多种主流AI模型。用户只需选择合适的模型并填写对应的API密钥即可使用。\r\n- 根据以往的错误案例，优化了模型进行权限绕过分析时的提示词。\r\n- 为AI分析增加了友好的JSON格式日志输出，这些日志可以在插件安装界面的控制台中查看，也可以保存到指定文件。（这便于用户反馈具体的错误案例细节，从而帮助提升分析的准确性。）\r\n\r\n> **📌 欢迎通过Issue或邮件分享您的使用体验与反馈！**","2024-12-02T03:41:17",{"id":117,"version":118,"summary_zh":119,"released_at":120},163066,"v1.2","### V1.2 版本发布说明\n- 根据历史用户反馈优化了未授权的检测 && 越权检测逻辑\n- 配置界面的上下分割符可任意调整位置，便于配置展示\n- 配置界面的按钮统一增加到下方\n- 文本框部分增加纵向 && 横向 滚动条，方便查看修改\n- Table Filter (状态过滤栏) 增加对AI分析结果列的过滤配置选项\n\n>  **📌 欢迎继续通过 issue \u002F email 反馈你的使用效果**\n---\n### V1.2 发行说明\n- 根据历史用户反馈优化了未授权检测和权限提升检测逻辑\n- 配置界面中的分隔线现在可以自由调整位置，以更好地展示配置内容\n- 配置界面中的按钮已统一移至底部\n- 在文本框中增加了垂直和水平滚动条，方便查看和编辑内容\n- 表格筛选器（状态筛选栏）现支持对AI分析结果列的状态筛选配置\n\n> 📌 欢迎继续通过issue或电子邮件提供您的使用反馈","2024-11-18T11:24:21",{"id":122,"version":123,"summary_zh":124,"released_at":125},163067,"v1.1","### V1.1 版本更新说明\n- AI分析模块: \n    - 分析所有json响应的接口（不包括状态码不相等的） 🛒\n    - 由仅分析接口响应 升级为：📈 全面分析请求url特征、请求body特征 以及 完整响应\n    - 结合历史反馈进一步优化响应分析流程 ❤️‍🔥\n- 修复了一些其他问题\n\n### 效果升级\n- 排除公共接口，需要人工分析的比例在之前基础上进一步降低60%\n- 结合历史反馈升级AI模块分析流程的，准确率进一步提高，准确率90%\n- 最终您只需要花费很少的精力去关注那些AI给出的存在越权的接口，将精力更多释放在发现新接口上吧！\n\n>  **📌 欢迎继续通过 issue \u002F email 反馈你的使用效果**\n\n\n---\n### V1.41更新说明\n- **AI分析模块:**\n    - 分析了所有JSON响应接口 🛒\n    - 从仅分析接口响应升级为：📈 对请求URL特征、请求体特征及完整响应进行全面分析\n    - 结合历史反馈进一步优化了响应分析流程 ❤️‍🔥\n- 修复了一些其他问题\n\n### 效果升级\n- 排除公共接口后，需人工分析的比例在原有基础上再次降低了60%\n- 结合历史反馈对AI模块分析流程进行升级，准确率进一步提升至90%\n- 最终，您只需投入极少精力处理AI标记出的可能存在权限越权的接口，从而将更多精力集中在发现新接口上！\n\n> **📌 欢迎继续通过issue或邮件反馈您的使用体验。**","2024-11-03T16:06:57",{"id":127,"version":128,"summary_zh":129,"released_at":130},163068,"v1.0","### 主要功能：\n- **自动化越权检测**：工具自动完成越权、未授权的检测，用户只需要替换对应站点低权限的认证头即可。\n- **AI 分析模块**：启用AI分析之后，会通过 AI 分析两次请求响应差异并给出越权判断结果，解决了无法使用规则覆盖多种越权检测特征的问题，将工具原始的误报率降低了90%以上。\n- **支持配置指定的拦截站点**：支持自定义过滤器，可通过配置特征让插件专注于特定的 HTTP 请求和响应的越权检测，减少不必要的干扰。\n- **支持配置越权特征指纹**：支持自定义配置已做鉴权的响应特征，便于区分出已鉴权的接口。\n- **用户友好界面**：在 Burp Suite 中提供简单的配置和结果展示页面，展示页可查看越权测试、未授权测试、AI判定的结果，使用不同颜色区分检测结果的状态，使结果一目了然。\n\n### 安装 && 使用方法：\n详细的安装使用说明请参考 [README文件](https:\u002F\u002Fgithub.com\u002Fusername\u002Fproject\u002FREADME.md)。\n\n### 已知问题：\n- 本版本已通过本地多次测试，没有重大已知问题。如果你遇到任何 bug 或 提出建议，请在 [GitHub Issues](https:\u002F\u002Fgithub.com\u002Fusername\u002Fproject\u002Fissues) 上反馈。\n\n感谢使用 **[ 📌 AutorizePro ] !** 期待你的反馈、贡献、称赞。\n\n---\n### Key Features:\n- **Automated Authorization Bypass Detection**: The tool automatically performs privilege escalation and unauthorized access detection. Users only need to replace the authentication header with one of a lower-privilege account for the target site.\n- **AI Analysis Module**: When enabled, AI analyzes the differences in request responses to provide more accurate authorization bypass judgments，reducing false positives by over 95%.\n- **Support for Configurable Filters**: Users can define custom filters to focus the plugin on specific HTTP requests and responses，reducing unnecessary noise in the detection process。\n- **Customizable Authorization Fingerprints**: Supports custom configuration of response signatures indicating authorized access，making it easier to identify authenticated interfaces。\n- **User-Friendly Interface**: Provides a simple configuration and result display page within Burp Suite，allowing users to view privilege escalation tests，unauthorized access tests，and AI-based assessments。Different colors highlight the status of detection results for quick and easy reference。\n\n### Installation & Usage:\nFor detailed installation and usage instructions，please refer to the [README file](https:\u002F\u002Fgithub.com\u002Fusername\u002Fproject\u002FREADME.md)。\n\n### Known Issues:\n- This version has no major known issues。If you encounter any bugs or have suggestions，please report them on [GitHub Issues](https:\u002F\u002Fgithub.com\u002Fusername\u002Fproject\u002Fissues)。\n\nThank you for using **[ 📌 AutorizePro ] !** We look forward to your feedback，contributions，and support。","2024-10-22T15:42:28",[132,142,150,158,166,174],{"id":133,"name":134,"github_repo":135,"description_zh":136,"stars":137,"difficulty_score":138,"last_commit_at":139,"category_tags":140,"status":66},4358,"openclaw","openclaw\u002Fopenclaw","OpenClaw 是一款专为个人打造的本地化 AI 助手，旨在让你在自己的设备上拥有完全可控的智能伙伴。它打破了传统 AI 助手局限于特定网页或应用的束缚，能够直接接入你日常使用的各类通讯渠道，包括微信、WhatsApp、Telegram、Discord、iMessage 等数十种平台。无论你在哪个聊天软件中发送消息，OpenClaw 都能即时响应，甚至支持在 macOS、iOS 和 Android 设备上进行语音交互，并提供实时的画布渲染功能供你操控。\n\n这款工具主要解决了用户对数据隐私、响应速度以及“始终在线”体验的需求。通过将 AI 部署在本地，用户无需依赖云端服务即可享受快速、私密的智能辅助，真正实现了“你的数据，你做主”。其独特的技术亮点在于强大的网关架构，将控制平面与核心助手分离，确保跨平台通信的流畅性与扩展性。\n\nOpenClaw 非常适合希望构建个性化工作流的技术爱好者、开发者，以及注重隐私保护且不愿被单一生态绑定的普通用户。只要具备基础的终端操作能力（支持 macOS、Linux 及 Windows WSL2），即可通过简单的命令行引导完成部署。如果你渴望拥有一个懂你",349277,3,"2026-04-06T06:32:30",[46,44,43,141],"数据工具",{"id":143,"name":144,"github_repo":145,"description_zh":146,"stars":147,"difficulty_score":138,"last_commit_at":148,"category_tags":149,"status":66},3808,"stable-diffusion-webui","AUTOMATIC1111\u002Fstable-diffusion-webui","stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面，旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点，将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。\n\n无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师，还是想要深入探索模型潜力的开发者与研究人员，都能从中获益。其核心亮点在于极高的功能丰富度：不仅支持文生图、图生图、局部重绘（Inpainting）和外绘（Outpainting）等基础模式，还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外，它内置了 GFPGAN 和 CodeFormer 等人脸修复工具，支持多种神经网络放大算法，并允许用户通过插件系统无限扩展能力。即使是显存有限的设备，stable-diffusion-webui 也提供了相应的优化选项，让高质量的 AI 艺术创作变得触手可及。",162132,"2026-04-05T11:01:52",[44,43,46],{"id":151,"name":152,"github_repo":153,"description_zh":154,"stars":155,"difficulty_score":32,"last_commit_at":156,"category_tags":157,"status":66},1381,"everything-claude-code","affaan-m\u002Feverything-claude-code","everything-claude-code 是一套专为 AI 编程助手（如 Claude Code、Codex、Cursor 等）打造的高性能优化系统。它不仅仅是一组配置文件，而是一个经过长期实战打磨的完整框架，旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。\n\n通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能，everything-claude-code 能显著提升 AI 在复杂任务中的表现，帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略，使得模型响应更快、成本更低，同时有效防御潜在的攻击向量。\n\n这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库，还是需要 AI 协助进行安全审计与自动化测试，everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目，它融合了多语言支持与丰富的实战钩子（hooks），让 AI 真正成长为懂上",145895,"2026-04-08T11:32:59",[44,46,45],{"id":159,"name":160,"github_repo":161,"description_zh":162,"stars":163,"difficulty_score":32,"last_commit_at":164,"category_tags":165,"status":66},2271,"ComfyUI","Comfy-Org\u002FComfyUI","ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎，专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式，采用直观的节点式流程图界面，让用户通过连接不同的功能模块即可构建个性化的生成管线。\n\n这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景，也能自由组合模型、调整参数并实时预览效果，轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性，不仅支持 Windows、macOS 和 Linux 全平台，还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构，并率先支持 SDXL、Flux、SD3 等前沿模型。\n\n无论是希望深入探索算法潜力的研究人员和开发者，还是追求极致创作自由度的设计师与资深 AI 绘画爱好者，ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能，使其成为当前最灵活、生态最丰富的开源扩散模型工具之一，帮助用户将创意高效转化为现实。",108111,"2026-04-08T11:23:26",[44,43,46],{"id":167,"name":168,"github_repo":169,"description_zh":170,"stars":171,"difficulty_score":32,"last_commit_at":172,"category_tags":173,"status":66},4721,"markitdown","microsoft\u002Fmarkitdown","MarkItDown 是一款由微软 AutoGen 团队打造的轻量级 Python 工具，专为将各类文件高效转换为 Markdown 格式而设计。它支持 PDF、Word、Excel、PPT、图片（含 OCR）、音频（含语音转录）、HTML 乃至 YouTube 链接等多种格式的解析，能够精准提取文档中的标题、列表、表格和链接等关键结构信息。\n\n在人工智能应用日益普及的今天，大语言模型（LLM）虽擅长处理文本，却难以直接读取复杂的二进制办公文档。MarkItDown 恰好解决了这一痛点，它将非结构化或半结构化的文件转化为模型“原生理解”且 Token 效率极高的 Markdown 格式，成为连接本地文件与 AI 分析 pipeline 的理想桥梁。此外，它还提供了 MCP（模型上下文协议）服务器，可无缝集成到 Claude Desktop 等 LLM 应用中。\n\n这款工具特别适合开发者、数据科学家及 AI 研究人员使用，尤其是那些需要构建文档检索增强生成（RAG）系统、进行批量文本分析或希望让 AI 助手直接“阅读”本地文件的用户。虽然生成的内容也具备一定可读性，但其核心优势在于为机器",93400,"2026-04-06T19:52:38",[42,44],{"id":175,"name":176,"github_repo":177,"description_zh":178,"stars":179,"difficulty_score":138,"last_commit_at":180,"category_tags":181,"status":66},4487,"LLMs-from-scratch","rasbt\u002FLLMs-from-scratch","LLMs-from-scratch 是一个基于 PyTorch 的开源教育项目，旨在引导用户从零开始一步步构建一个类似 ChatGPT 的大型语言模型（LLM）。它不仅是同名技术著作的官方代码库，更提供了一套完整的实践方案，涵盖模型开发、预训练及微调的全过程。\n\n该项目主要解决了大模型领域“黑盒化”的学习痛点。许多开发者虽能调用现成模型，却难以深入理解其内部架构与训练机制。通过亲手编写每一行核心代码，用户能够透彻掌握 Transformer 架构、注意力机制等关键原理，从而真正理解大模型是如何“思考”的。此外，项目还包含了加载大型预训练权重进行微调的代码，帮助用户将理论知识延伸至实际应用。\n\nLLMs-from-scratch 特别适合希望深入底层原理的 AI 开发者、研究人员以及计算机专业的学生。对于不满足于仅使用 API，而是渴望探究模型构建细节的技术人员而言，这是极佳的学习资源。其独特的技术亮点在于“循序渐进”的教学设计：将复杂的系统工程拆解为清晰的步骤，配合详细的图表与示例，让构建一个虽小但功能完备的大模型变得触手可及。无论你是想夯实理论基础，还是为未来研发更大规模的模型做准备",90106,"2026-04-06T11:19:32",[45,43,46,44]]