集成了ChatGPT的BurpSuite插件 | 发现高度定制化的漏洞 | 支持流量分析

作者：Sec-Labs | 发布时间：2023-04-10 10:27:22

项目地址

burpgpt 利用 AI 检测传统扫描器可能忽略的安全漏洞。它将 Web 流量发送到用户指定的 OpenAI 模型中，在被动扫描器内进行高级分析。该扩展提供了可定制的 提示符，以满足每个用户的特定需求。请查看示例用例部分以获取灵感。

该扩展程序生成自动化的安全报告，根据用户的 提示符 和 Burp 发出的请求的实时数据，汇总潜在的安全问题。通过利用 AI 和自然语言处理，该扩展简化了安全评估流程，并为安全专业人员提供了对所扫描的应用程序或端点的更高级别的概述。这使他们更容易识别潜在的安全问题并优先处理分析，同时也涵盖了更大的潜在攻击面。

特性

添加了被动扫描检查，允许用户通过占位符系统将HTTP数据提交给由OpenAI控制的GPT模型进行分析。
利用OpenAI GPT模型的强大功能进行全面的流量分析，可以检测出扫描应用程序中除安全漏洞之外的各种问题。
通过允许精确调整最大提示长度，实现对分析中使用的GPT令牌数量的细粒度控制。
提供多个OpenAI模型供用户选择，使他们可以选择最适合自己需求的模型。
让用户自定义提示，释放与OpenAI模型交互的无限可能性。请浏览示例用例以获得灵感。
与Burp Suite集成，提供所有原生功能的前/后处理，包括直接在Burp UI中显示分析结果，以便高效地进行分析。
通过原生的Burp事件日志提供故障排除功能，使用户能够快速解决与OpenAI API通信问题。

一些有趣的提示词

示例用例

下面的示例用例列表展示了定制和高度可定制的特性burpgpt，使用户能够定制他们的网络流量分析以满足他们的特定需求。

识别使用受特定 CVE 影响的加密库的 Web 应用程序中的潜在漏洞：

Analyse the request and response data for potential security vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER}:

Web Application URL: {URL}
Crypto Library Name: {CRYPTO_LIBRARY_NAME}
CVE Number: CVE-{CVE_NUMBER}
Request Headers: {REQUEST_HEADERS}
Response Headers: {RESPONSE_HEADERS}
Request Body: {REQUEST_BODY}
Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER} in the request and response data and report them.

通过分析与身份验证过程相关的请求和响应数据，扫描使用生物识别身份验证的 Web 应用程序中的漏洞：

Analyse the request and response data for potential security vulnerabilities related to the biometric authentication process:

Web Application URL: {URL}
Biometric Authentication Request Headers: {REQUEST_HEADERS}
Biometric Authentication Response Headers: {RESPONSE_HEADERS}
Biometric Authentication Request Body: {REQUEST_BODY}
Biometric Authentication Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities related to the biometric authentication process in the request and response data and report them.

分析无服务器功能之间交换的请求和响应数据以寻找潜在的安全漏洞：

Analyse the request and response data exchanged between serverless functions for potential security vulnerabilities:

Serverless Function A URL: {URL}
Serverless Function B URL: {URL}
Serverless Function A Request Headers: {REQUEST_HEADERS}
Serverless Function B Response Headers: {RESPONSE_HEADERS}
Serverless Function A Request Body: {REQUEST_BODY}
Serverless Function B Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities in the data exchanged between the two serverless functions and report them.

分析特定于单页应用程序 (SPA) 框架的潜在安全漏洞的请求和响应数据：

Analyse the request and response data for potential security vulnerabilities specific to the {SPA_FRAMEWORK_NAME} SPA framework:

Web Application URL: {URL}
SPA Framework Name: {SPA_FRAMEWORK_NAME}
Request Headers: {REQUEST_HEADERS}
Response Headers: {RESPONSE_HEADERS}
Request Body: {REQUEST_BODY}
Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities related to the {SPA_FRAMEWORK_NAME} SPA framework in the request and response data and report them.

路线图

[x] 在面板中添加一个新字段Settings，允许用户设置maxTokens请求的限制，从而限制请求大小。
[ ] maxTokens检索每个的精确值model以传输最大允许数据并获得尽可能广泛的GPT响应。
[ ] 实施持久配置存储以在重新启动时保留设置Burp Suite。
[ ] GPT增强用于将响应准确解析为改进报告的代码Vulnerability model。

标签：工具分享, burpsuite插件, ChatGPT