用了一天半,从零开始,完成了这个 Burp 扩展程序,基于信安之路 POC 管理系统的数据,可实现一键完成目标历史漏洞的探测,看一下界面:
到现在,我对于 Burp 扩展程序的编写方式都很陌生,但是如何在一天半的时间内完成了这个 burp 扩展的编写呢?
当然是借助了 AI 之力,百分之九十九的代码是 AI 完成,我所做的就是调试代码并修改 bug,然后根据使用习惯给 AI 提需求:
从测试记录来看,一共用了 28 个小时,不断出现问题,然后将问题发送给 AI,由 AI 进行修复更新,最终实现我想要的功能、
该插件的具体功能与 python3 版的 xazlscan 一致,仅仅是使用方式不同而已,有了这个扩展之后,在对目标进行手工测试时,可以在测试结束之时,调用该工具完成历史漏洞的探测,因为目标需要从 burp 的历史记录中提取。
主要方式是通过右键功能菜单推送扫描,如图:
扫描过程详细记录如下图:
扫描结束之后,可以通过日志查看选项卡,选择需要查看的日志内容,比如只看最后扫描出的漏洞信息:
目标选择框内的目标,可以使用 Refresh 按钮,一键同步,然后可以选择单个目标或者多个目标进行漏洞扫描:
插件的配置也比较简单,只需要配置 POC 系统的注册邮箱、Token 和 nuclei 的绝对路径即可,也可以根据需求,配置指纹识别时所用到的线程数以及执行 nuclei 的线程数:
我测试开发的环境使用的是 openjdk21 + burpsuite 2025.2.4 版本,如果想了解整个程序的执行流程,可以阅读 python3 源码:
https://github.com/myh0st/xazlscan
该扩展已公开分享:
https://gitee.com/xazlsec/xazlscan/blob/master/burpExt/XazlScan.jar
下载导入扩展即可使用,不过前提是已经拥有了信安之路 POC 管理系统的账号。
原文始发于微信公众号(信安之路):我的第一个 burp 扩展
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论