burpgpt:一款集成了OpenAI GPT的Burp Suite安全漏洞扫描扩展

关于burpgpt

burpgpt是一款集成了OpenAI GPT的Burp Suite安全漏洞扫描扩展,该扩展可执行额外的被动扫描以发现高度定制的漏洞,并支持运行任何类型的基于流量的分析。

burpgpt支持利用人工智能的力量来检测传统扫描工具可能遗漏的安全漏洞。它将网络流量发送到用户指定的OpenAI模型,从而在被动扫描工具中进行复杂的分析。该扩展提供了可定制的提示,使定制的网络流量分析能够满足每个用户的特定需求。

该扩展将在扫描完成后自动生成一份安全报告,并根据用户的提示和Burp发出的请求中的实时数据总结潜在的安全问题。通过利用人工智能和自然语言处理,该扩展简化了安全评估过程,并为安全专业人员提供了扫描应用程序或终端节点的更高级别概述。这使他们能够更容易地识别潜在的安全问题并优先进行分析,同时也覆盖了更大的潜在攻击面。

功能介绍

1、添加了被动扫描检查,允许用户通过占位符系统将HTTP数据提交到OpenAI控制的GPT模型进行分析。

2、利用OpenAI的GPT模型进行全面的流量分析,能够检测扫描应用程序中的安全漏洞之外的各种问题;

3、允许精确调整最大提示长度,可以对分析中使用的GPT令牌数量进行精细控制;

4、为用户提供多种OpenAI模型选择,使他们能够选择最适合自己需求的模型;

5、允许用户自定义提示,并释放与OpenAI模型交互的无限可能性;

6、与Burp Suite集成,为预处理和后处理提供所有本地功能,包括直接在Burp UI中显示分析结果,以实现高效分析;

7、通过本机Burp事件日志提供故障排除功能,使用户能够通过OpenAI API快速解决通信问题;

工具要求

1、Linux、macOS或Windows;

2、JDK 11+;

3、Burp Suite最新专业版或最新社区版;

4、Gradle v6.9+;

工具安装

首先,我们需要确保已经正确安装并配置好了Gradle。

接下来,使用下列命令将该项目源码克隆至本地:

git clone https://github.com/aress31/burpgpt
cd .\burpgpt\

然后切换到项目目录中,构建单独的jar文件:

./gradlew shadowJar

要安装burpgptBurp Suite请首先转到Extensions选项卡并单击Add按钮。然后,选择burpgpt-all位于该文件夹中的 jar 文件.\lib\build\libs来加载扩展

工具使用

广大研究人员需要在工具的设置面板中配置下列参数:

1、有效的OpenAI API密钥;

2、选择一个OpenAI模块;

3、定义max prompt大小;

4、根据需求调整提示:

burpgpt UI

按照上述配置完成后,系统会通过分析Burp passive scanner将每个请求发送给所选人员,并根据结果生成级别的严重性结果。OpenAI modelOpenAI APIInformational

burpgpt发现

快速配置

burpgpt使用户能够prompt使用系统定制流量分析placeholder。要包含相关信息,我们建议使用placeholders扩展直接处理的这些,允许将特定值动态插入到prompt

占位符描述
{REQUEST}扫描的请求。
{URL}扫描请求的 URL。
{METHOD}扫描请求中使用的 HTTP 请求方法。
{REQUEST_HEADERS}扫描请求的标头。
{REQUEST_BODY}扫描请求的正文。
{RESPONSE}扫描的响应。
{RESPONSE_HEADERS}扫描响应的标头。
{RESPONSE_BODY}扫描响应的正文。
{IS_TRUNCATED_PROMPT}boolean以编程方式设置为true或的值,false指示 是否prompt被截断为Maximum Prompt Size中定义的值Settings

这些placeholders可以在自定义中使用,以动态生成特定于扫描请求的prompt请求/响应分析。prompt

[!NOTE] >通过使用会话处理规则或扩展(例如自定义参数处理程序)Burp Suite提供支持任意操作的功能,从而允许对.placeholdersprompts

示例用例

以下示例用例列表展示了 的定制和高度可定制的性质burpgpt,这使用户能够定制他们的网络流量分析以满足他们的特定需求。

  • 识别使用受特定 CVE 影响的加密库的 Web 应用程序中的潜在漏洞:
Analyse the request and response data for potential security vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER}:

Web Application URL: {URL}
Crypto Library Name: {CRYPTO_LIBRARY_NAME}
CVE Number: CVE-{CVE_NUMBER}
Request Headers: {REQUEST_HEADERS}
Response Headers: {RESPONSE_HEADERS}
Request Body: {REQUEST_BODY}
Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER} in the request and response data and report them.
  • 通过分析与身份验证过程相关的请求和响应数据,扫描使用生物识别身份验证的 Web 应用程序中的漏洞
Analyse the request and response data for potential security vulnerabilities related to the biometric authentication process:

Web Application URL: {URL}
Biometric Authentication Request Headers: {REQUEST_HEADERS}
Biometric Authentication Response Headers: {RESPONSE_HEADERS}
Biometric Authentication Request Body: {REQUEST_BODY}
Biometric Authentication Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities related to the biometric authentication process in the request and response data and report them.
  • 分析无服务器功能之间交换的请求和响应数据以查找潜在的安全漏洞
Analyse the request and response data exchanged between serverless functions for potential security vulnerabilities:

Serverless Function A URL: {URL}
Serverless Function B URL: {URL}
Serverless Function A Request Headers: {REQUEST_HEADERS}
Serverless Function B Response Headers: {RESPONSE_HEADERS}
Serverless Function A Request Body: {REQUEST_BODY}
Serverless Function B Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities in the data exchanged between the two serverless functions and report them.
  • 分析请求和响应数据以查找单页应用程序 (SPA) 框架特有的潜在安全漏洞
Analyse the request and response data for potential security vulnerabilities specific to the {SPA_FRAMEWORK_NAME} SPA framework:

Web Application URL: {URL}
SPA Framework Name: {SPA_FRAMEWORK_NAME}
Request Headers: {REQUEST_HEADERS}
Response Headers: {RESPONSE_HEADERS}
Request Body: {REQUEST_BODY}
Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities related to the {SPA_FRAMEWORK_NAME} SPA framework in the request and response data and report them.

项目地址

参考资料

https://burpgpt.app/

© 版权声明
THE END
喜欢就支持一下吧
点赞1279赞赏 分享
评论 共1条

请登录后发表评论