الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

مهم

الإعلان عن إطلاق Burpgpt Pro ، الإصدار مصمم خصيصًا لتلبية احتياجات المهنيين والمحلات الإلكترونية. اكتشف مجموعة من الميزات القوية وواجهة سهلة الاستخدام تعزز قدراتك وتضمن تجربة مستخدم مثالية. للوصول إلى هذه الفوائد ، تفضل بزيارة موقعنا على الويب وقراءة الوثائق لمزيد من المعلومات.

تحذير

يرجى ملاحظة أن طبعة المجتمع لم تعد محفوظة أو وظيفية. لمواصلة تلقي التحديثات ، والميزات الجديدة ، وإصلاحات الأخطاء ، والتحسينات ، فكر في الترقية إلى Pro Edition. لم يعد من المفيد تسجيل Issues لنسخة المجتمع.

تجربف

تقوم burpgpt بالاستفادة من قوة AI للكشف عن نقاط الضعف الأمنية التي قد تفوتها الماسحات الضوئية التقليدية. إنه يرسل حركة مرور الويب إلى model OpenAI الذي حدده المستخدم ، مما يتيح التحليل المتطور داخل الماسح الضوئي السلبي. يوفر هذا الملحق prompts قابلة للتخصيص تتيح تحليل حركة مرور الويب المصمم لتلبية الاحتياجات المحددة لكل مستخدم. تحقق من قسم حالات استخدام المثال للإلهام.

يولد الامتداد تقريرًا أمنيًا تلقائيًا يلخص مشكلات الأمان المحتملة بناءً على بيانات المستخدم والوقت prompt من الطلبات Burp . من خلال الاستفادة من AI ومعالجة اللغة الطبيعية ، يقوم الامتداد بتبسيط عملية تقييم الأمان ويوفر لمهنيي الأمن نظرة عامة على المستوى الأعلى للتطبيق الممسوحة ضوئيًا أو نقطة النهاية. وهذا يمكّنهم من تحديد مشكلات الأمان المحتملة بسهولة وإعطاء أولويات تحليلهم ، مع تغطية سطح هجوم محتمل أكبر.

تحذير

يتم إرسال حركة البيانات إلى OpenAI للتحليل. إذا كانت لديك مخاوف بشأن هذا أو تستخدم امتداد التطبيقات المتعلقة بالأمان ، فمن المهم النظر بعناية في ذلك ومراجعة سياسة الخصوصية الخاصة بـ Openai لمزيد من المعلومات.

تحذير

على الرغم من أن التقرير آلي ، إلا أنه لا يزال يتطلب التثليث وبعد المعالجة من قبل أخصائيي الأمن ، لأنه قد يحتوي على إيجابيات كاذبة.

تحذير

تعتمد فعالية هذا الامتداد بشكل كبير على جودة ودقة المطالبات التي أنشأها المستخدم لنموذج GPT المحدد. سيساعد هذا النهج المستهدف على ضمان توليد GPT model نتائج دقيقة وقيمة لتحليل الأمان الخاص بك.

سمات

  • يضيف passive scan check ، مما يتيح للمستخدمين إرسال بيانات HTTP إلى GPT model الذي يتم التحكم فيه عن طريق OpenAI للتحليل من خلال نظام placeholder .
  • يعزز قوة OpenAI's GPT models لإجراء تحليل شامل لحركة المرور ، مما يتيح الكشف عن مختلف القضايا إلى ما وراء نقاط الضعف الأمنية في التطبيقات الممسوحة ضوئيًا.
  • يتيح التحكم الحبيبي في عدد GPT tokens المستخدمة في التحليل من خلال السماح بإجراء تعديلات دقيقة maximum prompt length .
  • يوفر للمستخدمين عدة OpenAI models للاختيار من بينها ، مما يسمح لهم بتحديد النماذج التي تناسب احتياجاتهم.
  • يمكّن المستخدمين من تخصيص prompts وإطلاق الإمكانيات غير المحدودة للتفاعل مع OpenAI models . تصفح من خلال مثال استخدام حالات الإلهام.
  • يتكامل مع Burp Suite ، وتوفير جميع الميزات الأصلية للمعالجة قبل وبعد المعالجة ، بما في ذلك عرض نتائج التحليل مباشرة داخل واجهة المستخدم التجشؤ للتحليل الفعال.
  • يوفر وظائف استكشاف الأخطاء وإصلاحها عبر Burp Event Log الأصلي ، مما يمكّن المستخدمين من حل مشكلات الاتصال بسرعة مع OpenAI API .

متطلبات

1. متطلبات النظام

  • نظام التشغيل: متوافق مع أنظمة التشغيل Linux و macOS و Windows .

  • مجموعة Java Development Kit (JDK): Version 11 أو الأحدث.

  • تجشير جناح مهني أو مجتمعي: Version 2023.3.2 أو أحدث.

    [! مهم] يرجى ملاحظة أن استخدام أي إصدار أقل من 2023.3.2 قد يؤدي إلى java.lang.nosuchmethoderror. من الأهمية بمكان استخدام الإصدار المحدد أو الإصدار الأكثر حداثة لتجنب هذه المشكلة.

2. أداة بناء

  • Gradle: Version 6.9 أو أحدث (موصى به). يتم توفير ملف build.gradle في مستودع المشروع.

3. متغيرات البيئة

  • قم بإعداد متغير بيئة JAVA_HOME للإشارة إلى دليل تثبيت JDK .

يرجى التأكد من استيفاء جميع متطلبات النظام ، بما في ذلك نسخة متوافقة من Burp Suite ، قبل بناء وتشغيل المشروع. لاحظ أنه سيتم إدارة التبعيات الخارجية للمشروع وتثبيتها تلقائيًا بواسطة Gradle أثناء عملية الإنشاء. سيساعد الالتزام بالمتطلبات على تجنب المشكلات المحتملة وتقليل الحاجة إلى فتح مشكلات جديدة في مستودع المشروع.

تثبيت

1. التجميع

  1. تأكد من تثبيت Gradle وتكوينه.

  2. قم بتنزيل مستودع burpgpt : 

    git clone https://github.com/aress31/burpgpt
cd . b urpgpt

  3. بناء jar المستقلة: 

    ./gradlew shadowJar

2. تحميل التمديد في Burp Suite

لتثبيت burpgpt في Burp Suite ، انتقل أولاً إلى علامة التبويب Extensions وانقر فوق الزر Add . بعد ذلك ، حدد ملف burpgpt-all jar الموجود في مجلد .libbuildlibs لتحميل الامتداد.

الاستخدام

للبدء في استخدام Burpgpt ، يحتاج المستخدمون إلى إكمال الخطوات التالية في لوحة الإعدادات ، والتي يمكن الوصول إليها من شريط قائمة Burp Suite:

  1. أدخل OpenAI API key صالح.
  2. حدد model .
  3. تحديد max prompt size . يتحكم هذا الحقل في الحد الأقصى لطول prompt المرسلة إلى OpenAI لتجنب تجاوز maxTokens من نماذج GPT (عادة حوالي 2048 لـ GPT-3 ).
  4. ضبط أو إنشاء مطالبات مخصصة وفقًا لمتطلباتك.

burpgpt ui

بمجرد تكوينه على النحو المبين أعلاه ، يرسل Burp passive scanner كل طلب إلى OpenAI model الذي تم اختياره عبر OpenAI API للتحليل ، وإنتاج نتائج شدة المستوى Informational بناءً على النتائج.

اكتشاف burpgpt

تكوين موجه

تمكن burpgpt للمستخدمين من تخصيص prompt لتحليل حركة المرور باستخدام نظام placeholder . لتضمين المعلومات ذات الصلة ، نوصي باستخدام هذه placeholders ، والتي يتعامل معها التمديد مباشرة ، مما يسمح بإدراج ديناميكي لقيم محددة في prompt :

عنصر نائب وصف
{REQUEST} الطلب الممسوحة ضوئيا.
{URL} عنوان URL للطلب الممسوحة ضوئيًا.
{METHOD} طريقة طلب HTTP المستخدمة في الطلب الممسوحة ضوئيًا.
{REQUEST_HEADERS} رؤوس الطلب الممسوحة ضوئيا.
{REQUEST_BODY} جسم الطلب الممسوحة ضوئيا.
{RESPONSE} استجابة ممسوحة ضوئيا.
{RESPONSE_HEADERS} رؤوس الاستجابة الممسوحة ضوئيا.
{RESPONSE_BODY} جسم الاستجابة الممسوحة ضوئيا.
{IS_TRUNCATED_PROMPT} القيمة boolean التي يتم تعيينها برمجيا على true أو false للإشارة إلى ما إذا كانت prompt قد تم اقتطاعها إلى Maximum Prompt Size المحددة في Settings .

يمكن استخدام هذه placeholders في prompt المخصصة لإنشاء prompt تحليل الطلب/الاستجابة ديناميكيًا مخصصة للطلب الممسوحة ضوئيًا.

[! ملاحظة]> يوفر Burp Suite القدرة على دعم placeholders التعسفية من خلال استخدام قواعد معالجة الجلسة أو الامتدادات مثل معالج المعلمة المخصصة ، مما يسمح بتخصيص أكبر prompts .

مثال استخدام حالات

تعرض القائمة التالية من حالات الاستخدام على سبيل المثال الطبيعة المفصلة والقابلة للتخصيص بشكل كبير لـ burpgpt ، والتي تمكن المستخدمين من تصميم تحليل حركة المرور على الويب لتلبية احتياجاتهم الخاصة.

  • تحديد نقاط الضعف المحتملة في تطبيقات الويب التي تستخدم مكتبة تشفير تتأثر بـ CVE محددة: 

     Analyse the request and response data for potential security vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER}:

Web Application URL: {URL}
Crypto Library Name: {CRYPTO_LIBRARY_NAME}
CVE Number: CVE-{CVE_NUMBER}
Request Headers: {REQUEST_HEADERS}
Response Headers: {RESPONSE_HEADERS}
Request Body: {REQUEST_BODY}
Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER} in the request and response data and report them.

  • المسح الضوئي لاستفادة الثغرات الأمنية في تطبيقات الويب التي تستخدم المصادقة البيومترية عن طريق تحليل بيانات الطلب وبيانات الاستجابة المتعلقة بعملية المصادقة: 

     Analyse the request and response data for potential security vulnerabilities related to the biometric authentication process:

Web Application URL: {URL}
Biometric Authentication Request Headers: {REQUEST_HEADERS}
Biometric Authentication Response Headers: {RESPONSE_HEADERS}
Biometric Authentication Request Body: {REQUEST_BODY}
Biometric Authentication Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities related to the biometric authentication process in the request and response data and report them.

  • تحليل بيانات الطلب والاستجابة المتبادلة بين وظائف الخادم الخاصة بمنافق الأمن المحتملة: 

     Analyse the request and response data exchanged between serverless functions for potential security vulnerabilities:

Serverless Function A URL: {URL}
Serverless Function B URL: {URL}
Serverless Function A Request Headers: {REQUEST_HEADERS}
Serverless Function B Response Headers: {RESPONSE_HEADERS}
Serverless Function A Request Body: {REQUEST_BODY}
Serverless Function B Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities in the data exchanged between the two serverless functions and report them.

  • تحليل بيانات الطلب والاستجابة لثغرات الأمن المحتملة المحتملة لإطار عمل تطبيق صفحة واحدة (SPA): 

     Analyse the request and response data for potential security vulnerabilities specific to the {SPA_FRAMEWORK_NAME} SPA framework:

Web Application URL: {URL}
SPA Framework Name: {SPA_FRAMEWORK_NAME}
Request Headers: {REQUEST_HEADERS}
Response Headers: {RESPONSE_HEADERS}
Request Body: {REQUEST_BODY}
Response Body: {RESPONSE_BODY}

Identify any potential vulnerabilities related to the {SPA_FRAMEWORK_NAME} SPA framework in the request and response data and report them.

خريطة الطريق

  • أضف حقلًا جديدًا إلى لوحة Settings التي تسمح للمستخدمين بتعيين حد maxTokens للطلبات ، وبالتالي الحد من حجم الطلب. <- حصري للنسخة المحترفة من Burpgpt.
  • أضف دعمًا للاتصال بمثيل محلي AI model ، مما يسمح للمستخدمين بتشغيل النموذج والتفاعل مع أجهزتهم المحلية ، مما يحسن أوقات الاستجابة وخصوصية البيانات . <- حصري للنسخة المحترفة من Burpgpt.
  • استرجاع قيمة maxTokens الدقيقة لكل model لنقل البيانات القصوى المسموح بها والحصول على استجابة GPT الأكثر شمولاً.
  • قم بتنفيذ تخزين التكوين المستمر للحفاظ على الإعدادات عبر إعادة تشغيل Burp Suite . <- حصري للنسخة المحترفة من Burpgpt.
  • عزز رمز التحليل الدقيق لاستجابات GPT في Vulnerability model لتحسين التقارير. <- حصري للنسخة المحترفة من Burpgpt.

معلومات المشروع

الامتداد قيد التطوير حاليًا ونرحب بالتعليقات والتعليقات والمساهمات لجعلها أفضل.

راعي ؟

إذا كان هذا الامتداد قد وفر لك الوقت والمتاعب أثناء تقييم الأمن ، ففكر في إظهار بعض الحب من خلال رعاية فنجان من القهوة ☕ للمطور. إنه الوقود الذي يشغل التنمية ، بعد كل شيء. فقط اضغط على زر الراعي اللامع في الجزء العلوي من الصفحة أو انقر هنا للمساهمة والحفاظ على تدفق الكافيين. ؟

الإبلاغ عن القضايا

هل وجدت خطأ؟ حسنًا ، لا تدعها تزحف حولها! دعنا نسحقها معًا مثل زوجين من الهمس! ؟

يرجى الإبلاغ عن أي مشكلات حول تعقب قضايا Github. معًا ، سنجعل هذا الامتداد موثوقًا مثل الصراصير الناجية من نهاية العالم النووي!

المساهمة

هل تتطلع إلى صنع رش مع مهارات الترميز المجنونة؟

مذهل! المساهمات موضع ترحيب وتقدير كبير. يرجى إرسال جميع PRS على تعقب طلبات سحب Github. معا يمكننا جعل هذا التمديد أكثر مذهلة!

رخصة

انظر الترخيص.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل