0x01 工具介绍
Enhanced BurpGPT 是一款专为 Burp Suite 开发的AI插件,通过结合(AI)大模型 ,快速发现 Web 应用中的潜在安全问题。在安全测试过程中,只需对请求/响应对点击 "Send to GPT",它会将数据发送到指定的 AI 模型,进行漏洞分析,从而识别潜在漏洞!
注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"否则可能就看不到了啦!
下载地址 https://github.com/yxdm02/EnhancedBurpGPT
0x02 功能简介
配置标签栏
![EnhancedBurpGPT 内置Deepseek AI的Burp漏洞分析插件|自动化漏洞探测]( "一款内置Deepseek AI的Burp漏洞分析插件|自动化漏洞探测")
比如我配置deepseek,即为:
比如我配置deepseek,即为:
分析中截图
分析结果展示
![EnhancedBurpGPT 内置Deepseek AI的Burp漏洞分析插件|自动化漏洞探测]( "一款内置Deepseek AI的Burp漏洞分析插件|自动化漏洞探测")
Deepseek分析结果展示:
Deepseek分析结果展示:
功能亮点 💡
- 自动化分析
借助 AI 辅助,提升漏洞发现效率。 - 轻松上手
适合新手学习 Web 渗透测试。 - 多语言支持
支持中文和自定义提示模板。 - 灵活配置
支持调优请求和响应的超时时间和长度限制。 - 详尽结果
生成详细的分析报告,支持导出保存。 - 多模型选择
支持多个主流厂商 API 和模型,满足不同需求。
支持的模型和厂商 🌐
主流厂商及其 API URL 示例
- OpenAI
-
-
API URL: https://api.openai.com/v1/chat/completions
-
- DeepSeek
-
-
API URL: https://api.deepseek.com/v1/chat/completions
-
- 硅基流动 (SiliconFlow)
-
-
API URL: https://api.siliconflow.cn/v1/chat/completions
-
- Ollama
-
-
API URL: http://ip:port/v1/chat/completions(⚠️ 注意 Ollama 的密钥需填写您设置的密钥或其默认密钥)
-
支持的模型(部分列举)
- OpenAI
-
GPT-3.5-turbo(快速响应,高性价比,适合常规测试) -
GPT-4(更强分析能力,适合复杂场景) -
o1-preview(最新版本,拥有更大上下文窗口)
-
- Google
-
Gemini Pro(代码分析能力优秀) -
Gemini-2.0-flash-thinking-exp(推理能力超强,多模态支持优化)
-
- DeepSeek
-
DeepSeek-R1(开放模型,支持本地部署) -
DeepSeek-Chat(优化多轮对话体验,尤其是中文支持)
-
- Anthropic
-
Claude-3.5-sonnet(理解和代码能力俱佳) -
Claude-3 Haiku(更快、更流畅的分析体验)
-
0x03更新说明
下版本更新代理功能send to gpt分析功能支持自定义prompt、apiurl、apikey、model等支持自定义上下文大小
0x04 使用介绍
安装指南 📥
前置条件
-
您已经安装了 Burp Suite。 -
安装了 Jython(用于运行 Python 插件)。 -
拥有稳定网络及 GPT API 的密钥(API Key)。
详细步骤
- 安装 Jython
-
下载 Jython Installer -
运行安装程序,并记住安装路径。
-
- 在 Burp Suite 配置 Jython
-
打开 Burp Suite,点击 Extender 标签页。 -
切换至 Options 子标签。 -
在 Python Environment 区域,指定您安装的 Jython .jar文件路径。
-
- 安装插件
-
在 Burp Suite 中,点击 Extender > Extensions。 -
点击 Add 按钮。 -
将 Extension Type 设置为 Python。 -
选择下载的 burpGPTv1.py插件文件。 -
点击 Next,等待加载完成。
-
配置指南 ⚙️
第一步:基础配置
-
打开 Burp Suite,点击 GPT Analysis 标签页。 -
在 Configuration 选项卡中: 注意:部分模型可能需要访问
/v1/models来校验是否可用-
填写 API URL
-
例如:https://api.openai.com/v1/chat/completions-
-
输入 API Key -
选择或输入要使用的模型名称
-
例如:gpt-3.5-turbo第二步:高级配置
-
配置超时及长度限制: - Timeout
推荐设置为 60 秒。 - Max Request Length
推荐设置为 1000。 - Max Response Length
推荐设置为 2000。
- Timeout
-
自定义提示模板: - 支持的变量
-
{URL}
目标网址。 {METHOD}
请求方法。 {REQUEST}
请求内容。 {RESPONSE}
响应内容。
-
-
默认模板已支持基础应用。 -
如有个性化需求,可以自定义模板:
-
使用指南 🎯
基础使用
-
在 Burp Suite 的任意模块(如 Proxy 或 Repeater)中,右键点击特定的请求。 -
选择 Send to GPT。 -
稍作等待,解析结果会显示在 Analysis Results 标签页中。
查看分析结果
-
在 Analysis Results 中: -
左侧为分析历史列表。 -
右侧为详细的分析内容。
-
-
提供搜索功能,用于快速定位历史记录。 -
支持导出分析结果为报告。
查看日志
-
切换至 Logs 标签页。 -
提供所有操作的详细日志。 -
如果遇到问题,先从日志中查找错误信息。
常见问题与解答 ❓
- 插件加载失败?
-
确保已经正确安装 Jython。 -
检查 Burp Suite Extender 的 Errors 标签页,查看加载错误。
-
- 无法连接 API?
-
检查网络连接。 -
确保 API URL 填写正确(不要有拼写错误)。 -
验证 API Key 是否有效。
-
- 分析结果为空?
-
确认请求/响应内容是否过大。 -
检查模型的是正确性。 -
查看日志,查找详细的错误信息。
-
- 分析速度较慢?
-
调整超时时间(如 60 秒)。 -
调小请求或响应长度限制。 -
检查网络是否稳定。
-
使用小技巧 💪
提升效率
-
合理设置请求/响应的长度限制,避免超过模型处理能力。 -
针对不同场景自定义提示模板。 -
定期导出重要的分析结果,方便后续查看。
优化分析结果
-
调整提示模板,让分析更准确。 -
对不同请求类型使用差异化的模板,以提高针对性。 -
结合 Burp Suite 的其他功能,如扫描器或流量分析。
管理历史记录
-
删除无关的分析记录,减少插件运行压力。 -
善用历史搜索功能快速查找之前的结果。 -
定期将重要发现导出保存。
注意事项 ⚠️
安全性
-
切勿分享您的 API Key。 -
如果请求/响应中包含敏感信息,请在提交前进行过滤。 -
定期检查插件版本,保持更新状态。
资源管理
-
大量调用会消耗 API 使用配额,合理分配资源。 -
过多历史记录可能占用内存,建议清理不必要的数据。
使用限制
-
该插件需要网络连接以调用 API。 -
插件的分析结果仅供参考,请自行验证。 -
关闭 Burp Suite 后,历史记录不会保存。
0x05 下载
https://github.com/yxdm02/EnhancedBurpGPT
原文始发于微信公众号(渗透安全HackTwo):一款内置Deepseek AI的Burp漏洞分析插件|自动化漏洞探测
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论