聽說burp可以掃API弱點
塞網址下去後感覺只是當一般網站掃描
發現要有API定義的json檔
嘗試把網站上提供的yaml 檔轉成json檔
發現yaml檔上的格式寫法太舊，而且burp不支援某些參數
手動debug把格式更新和刪掉參數
終於成功了

以上花了大概兩三天

主要是在研究為什麼不成功這件事花好久的時間

居然有這種事汪

還有研究burp擴充套件，看要怎麼在header上塞token之類的