Burp Suite 插件 BurpGPT,可执行额外的被动扫描,以发现高度定制的漏洞,并可以运行任何类型的基于流量的分析。

admin 2024年12月31日13:30:26评论18 views字数 1325阅读4分25秒阅读模式

 

01

工具介绍

BurpGPT,可提高渗透测试的效率和质量有高级的语言处理能力,操作界面好用可发现零日漏洞、评估加密的完整性分析网络流量、评估网络应用程序

支持自定义提示(prompts),以满足特定的分析需求可自动生成一份安全报告根据用户的提示和Burp实时数据总结潜在的安全问题

burpgpt利用 的功能AI来检测传统扫描仪可能遗漏的安全漏洞。它将网络流量发送到OpenAI model用户指定的设备,从而在被动扫描仪内进行复杂的分析。此扩展提供可定制的功能prompts,可实现量身定制的网络流量分析,以满足每个用户的特定需求。

该扩展程序会生成一份自动安全报告,根据用户发出的请求prompt的实时数据总结潜在的安全问题Burp。通过利用AI和自然语言处理,该扩展程序简化了安全评估流程,并为安全专业人员提供了扫描应用程序或端点的更高层次概述。这使他们能够更轻松地识别潜在的安全问题并确定分析的优先级,同时还覆盖更大的潜在攻击面。

02

工具使用

要开始使用 burpgpt,用户需要在“设置”面板中完成以下步骤,可以从 Burp Suite 菜单栏访问该面板:

  1. 输入有效的OpenAI API key。
  2. 选择一个model。
  3. 定义。此字段控制发送到 的max prompt size最大长度,以避免超过模型的(通常约为)。promptOpenAImaxTokensGPT2048GPT-3
  4. 根据您的要求调整或创建自定义提示。

Burp Suite 插件 BurpGPT,可执行额外的被动扫描,以发现高度定制的漏洞,并可以运行任何类型的基于流量的分析。

一旦按照上述配置完成,就会通过Burp passive scanner所选的将每个请求发送到进行分析,并根据结果产生级别严重性发现。OpenAI modelOpenAI APIInformational

Burp Suite 插件 BurpGPT,可执行额外的被动扫描,以发现高度定制的漏洞,并可以运行任何类型的基于流量的分析。

快捷配置

burpgpt使用户能够prompt使用系统定制流量分析placeholder。要包含相关信息,我们建议使用placeholders扩展直接处理的这些,允许将特定值动态插入到prompt:

占位符 描述
{REQUEST} 已扫描的请求。
{URL} 扫描请求的 URL。
{METHOD} 扫描请求中使用的 HTTP 请求方法。
{REQUEST_HEADERS} 扫描的请求的标题。
{REQUEST_BODY} 扫描请求的主体。
{RESPONSE} 扫描的回应。
{RESPONSE_HEADERS} 扫描的响应的标题。
{RESPONSE_BODY} 扫描的响应的主体。
{IS_TRUNCATED_PROMPT} boolean以编程方式设置为true或的值,false用于指示是否prompt被截断为Maximum Prompt Size中定义的Settings。

这些placeholders可以在自定义中使用,以动态生成特定于扫描请求的prompt请求/响应分析。prompt

[!NOTE] >通过使用会话处理规则或扩展(例如自定义参数处理程序)Burp Suite提供了支持任意的能力,从而允许对 进行更大程度的自定义。placeholdersprompts

03 工具下载

https://github.com/aress31/burpgpt

 

原文始发于微信公众号(夜组安全):Burp Suite 插件 BurpGPT,可执行额外的被动扫描,以发现高度定制的漏洞,并可以运行任何类型的基于流量的分析。

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月31日13:30:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Burp Suite 插件 BurpGPT,可执行额外的被动扫描,以发现高度定制的漏洞,并可以运行任何类型的基于流量的分析。https://cn-sec.com/archives/3575045.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息