AI Hub

Новости и статьи об искусственном интеллекте и нейросетях. Мы собираем и обрабатываем самую актуальную информацию из мира AI. О проекте

TelegramБот @AiHubMyBotTelegramКанал @AiHubFeed
Новости

Rep+: HTTP-повторитель с ИИ для Chrome DevTools

Rep+ — это расширение для Chrome DevTools, которое упрощает захват, повтор и анализ HTTP-запросов с помощью ИИ от Anthropic. Оно предлагает группировку запросов, массовые атаки, экстракцию секретов и эндпоинтов, без нужды в прокси. Подходит для быстрого тестирования безопасности веб-приложений.

27 ноября 2025 г.
7 мин
1

rep+

Rep+ представляет собой компактное расширение для Chrome DevTools, которое черпает идеи из Repeater в Burp Suite, но обогащено возможностями искусственного интеллекта. Оно помогает быстро анализировать запросы, не запуская тяжелый Burp, и интегрирует поддержку больших языковых моделей для более умного подхода к тестированию.

Что умеет

  • Без настройки прокси: Работает прямо в Chrome, без необходимости настраивать системные прокси или устанавливать сертификаты CA, как в Burp Suite.

  • Захват и повтор: Фиксирует все HTTP-запросы, которые возникают во время тестирования. Можно повторить любой запрос, изменяя метод, путь, заголовки или тело, чтобы проверить конечные точки.

  • Захват из нескольких вкладок: Собирает сетевые запросы со всех открытых вкладок, а не только с той, что инспектируется.

    • Глобальный обзор: Следит за трафиком во всей сессии браузера.
    • Визуальные метки: Запросы из других вкладок обозначаются иконкой глобуса 🌍, чтобы их было проще отличить.
    • Умная фильтрация: Автоматически убирает дубликаты, чтобы рабочая область оставалась чистой.
    • Приоритет приватности (опциональные разрешения): Широкие разрешения (webRequest, <all_urls>) не выдаются по умолчанию. Их запрашивают только во время работы, когда пользователь сам активирует иконку глобуса. Так расширение остается легким и не вторгается в приватность, пока не потребуется дополнительная функциональность.

  • Иерархическая группировка запросов: Умная организация захваченных запросов для удобного просмотра.

    • Группировка по страницам: Запросы объединяются по странице, с которой они стартовали (иконка 📄).
    • Обнаружение сторонних ресурсов: Автоматически определяет и вкладывает домены третьих сторон (CDN, API, аналитика) под основную страницу (иконка 🌐).
    • Логичная сортировка: Сначала идут запросы первого уровня, потом группы сторонних доменов.
    • Сворачиваемое дерево: Все группы по умолчанию свёрнуты, чтобы интерфейс не засорялся. Кнопка переключения позволяет развернуть или свернуть все сразу.
    • Контекстная осведомленность: Помогает понять, к какой странице относятся ресурсы, упрощая анализ сложных веб-приложений.
    • Звездочки для групп: Отметьте звездочкой целую группу страницы (📄) или домена (🌐), чтобы следить за ней.
      • Целевое отслеживание: Звездочка на группе страницы фиксирует только запросы того же домена, игнорируя сторонний шум.
      • Автоматическая звездочка: Новые запросы в отмеченной группе получают звездочку по прибытии.

  • Фильтры и регулярные выражения: Мощный поиск по URL, домену, заголовкам и телу. Включите режим Regex для сложных шаблонов, например, чтобы найти конкретные токены или ID.

  • Преобразователи: В контекстном меню правой кнопкой мыши можно сразу кодировать или декодировать данные:

    • Base64
    • URL-кодирование/декодирование
    • Декодирование JWT (просмотр полезной нагрузки мгновенно)
    • Hex / UTF-8

  • Снимки экрана: Встроенный инструмент для захвата пары запрос-ответ в виде скриншота для отчетов об ошибках.

  • История и навигация: Поддержка отмены/повтора правок и навигации по истории для выбранных запросов.

  • Звездочки: Закрепите важные запросы, чтобы они всегда были наверху списка.

    • Для отдельных запросов: Отметьте вручную.
    • Для групп: Отметьте всю группу, чтобы автоматически отслеживать текущие и будущие запросы с этой страницы или домена.

  • Очистка области: Одним кликом удалите все захваченные запросы, чтобы начать заново.

  • Экспорт и импорт: Сохраните запросы в JSON для обмена с коллегами или загрузите позже. Идеально для рабочих процессов между Rep+.

  • Массовый повтор: Атаки в стиле Intruder из Burp Suite с четырьмя режимами:

    • Sniper: Проверяет каждую позицию отдельно с собственными наборами данных
    • Battering Ram: Все позиции используют один и тот же набор
    • Pitchfork: Распределяет наборы по позициям по индексу
    • Cluster Bomb: Проверяет все комбинации (декартово произведение)

    Отметьте несколько параметров символом §, выберите тип атаки, настройте наборы (список или числа) для каждой позиции и изучите результаты каждого прогона. Есть пауза/возобновление для длительных атак.

    • Сравнение ответов: Вид diff в стиле Git, чтобы выделить различия между базовым ответом и результатами атаки. Включите "Diff View", чтобы увидеть добавления (зеленым) и удаления (красным).

  • Универсальный экстрактор: Инструмент для анализа JavaScript-файлов, объединяющий две функции:

    • Сканер секретов: Автоматически проверяет захваченные JS-файлы на жестко заданные секреты (API-ключи, токены, приватные ключи).
      • Умное распознавание: Применяет анализ энтропии и фильтры, чтобы снизить ложные срабатывания.
      • Оценки уверенности: Отмечает находки как высокую, среднюю или низкую уверенность.
    • Экстрактор конечных точек: Вытаскивает API-эндпоинты, URL и пути из JS-файлов.
      • Умное извлечение: Находит полные URL, относительные пути и GraphQL-эндпоинты.
      • Определение методов: Предугадывает HTTP-методы (GET, POST и т.д.) по контексту.
      • Копирование одним кликом: Мгновенно копирует относительные пути как полные URL (восстанавливает базовый URL автоматически).

  • Поддержка тем: Автоматически подстраивается под системную тему (светлая/темная) с кнопкой переключения ☀️/🌙 в интерфейсе.

  • Возможности ИИ: Интеграция с Claude от Anthropic для разбора запросов и ответов.

    • Объяснение запроса: Нажмите кнопку ✨, чтобы получить подробный разбор текущего запроса.
    • Предложения векторов атак: В меню ▼ выберите Предложения векторов атак, чтобы получить список приоритетных уязвимостей (IDOR, SQLi и т.д.), адаптированный к запросу.
    • Контекстное меню: Выделите текст (заголовок, параметр, ошибка), кликните правой кнопкой и выберите "Объяснить с ИИ" для точного разбора.
    • Потоковые ответы: Пояснения появляются в реальном времени.
    • Настройки: Укажите API-ключ Anthropic и модель (Claude 3.5 Sonnet, Opus, Haiku) в меню настроек 🤖.

⚠️ Ограничения

Rep+ работает внутри Chrome DevTools, поэтому:

  • Не поддерживает сырые HTTP/1 или некорректные запросы (ограничение fetch())
  • Некоторые заголовки нельзя переопределить (песочница браузера)
  • Нет прямого доступа к TCP-сокетам (нельзя тестировать smuggling/pipelining)
  • Ограничения панели DevTools влияют на некоторые элементы интерфейса

Rep+ подходит для быстрого тестирования, повторов и экспериментов — но не для глубокого анализа на уровне HTTP.

Установка

  1. Клонируйте репозиторий: 
    git clone https://github.com/bscript/rep.git
  2. Откройте расширения Chrome:
    • Перейдите по адресу chrome://extensions/ в браузере.
    • Включите режим разработчика (переключатель в правом верхнем углу).
  3. Загрузите расширение:
    • Нажмите Загрузить распакованное.
    • Выберите папку rep, которую только что склонировали.
  4. Откройте DevTools:
    • Нажмите F12 или кликните правой кнопкой — Инспектировать.
    • Найдите вкладку rep+ (возможно, в меню переполнения >>>).

Такое сочетание делает Rep+ удобным для охотников за багами и исследователей уязвимостей, желающих получить итерации в стиле Burp без громоздкого интерфейса. Установите расширение, откройте DevTools, перейдите на панель rep+ и приступайте к работе.