burpgpt

burpgpt aproveita o poder da AI ​​para detectar vulnerabilidades de segurança que os scanners tradicionais podem perder. Ele envia o tráfego da Web para um model OpenAI especificado pelo usuário, permitindo uma análise sofisticada dentro do scanner passivo. Esta extensão oferece prompts personalizáveis ​​que permitem a análise de tráfego da Web personalizada para atender às necessidades específicas de cada usuário. Confira o exemplo de seção de casos de uso para inspiração.

A extensão gera um relatório de segurança automatizado que resume os possíveis problemas de segurança com base nos dados de prompt e tempo real do usuário de solicitações emitidas Burp . Ao alavancar AI e o processamento de linguagem natural, a extensão simplifica o processo de avaliação de segurança e fornece aos profissionais de segurança uma visão geral de nível superior do aplicativo ou terminal digitalizado. Isso lhes permite identificar mais facilmente problemas de segurança e priorizar sua análise, além de cobrir uma superfície de ataque potencial maior.

• Adiciona uma passive scan check , permitindo que os usuários enviem dados HTTP para um GPT model controlado por OpenAI para análise por meio de um sistema placeholder .
• Aproveita o poder dos OpenAI's GPT models para realizar análises abrangentes de tráfego, permitindo a detecção de vários problemas além de apenas vulnerabilidades de segurança em aplicativos digitalizados.
• Permite o controle granular sobre o número de GPT tokens utilizados na análise, permitindo ajustes precisos do maximum prompt length .
• Oferece aos usuários vários OpenAI models para escolher, permitindo que eles selecionem o que melhor atende às suas necessidades.
• Empower os usuários a personalizar prompts e liberar possibilidades ilimitadas para interagir com OpenAI models . Navegue pelos exemplos de casos de uso para inspiração.
• Integra-se ao Burp Suite , fornecendo todos os recursos nativos para pré e pós-processamento, incluindo a exibição de resultados de análise diretamente na interface do usuário do Burp para análise eficiente.
• Fornece a funcionalidade de solução de problemas através do Burp Event Log nativo, permitindo que os usuários resolvam rapidamente problemas de comunicação com a OpenAI API .

• Sistema operacional: compatível com sistemas operacionais Linux , macOS e Windows .

• Java Development Kit (JDK): Version 11 ou posterior.

• Burp Suite Professional ou Comunidade Edição: Version 2023.3.2 ou posterior.

  [! IMPORTANTE] Observe que o uso de qualquer versão inferior a 2023.3.2 pode resultar em um java.lang.nosuchmethoderror. É crucial usar a versão especificada ou mais recente para evitar esse problema.

• Gradle: Version 6.9 ou posterior (recomendado). O arquivo build.gradle é fornecido no repositório do projeto.

• Configure a variável de ambiente JAVA_HOME para apontar para o diretório de instalação JDK .

Certifique -se de que todos os requisitos do sistema, incluindo uma versão compatível do Burp Suite , sejam atendidos antes de construir e executar o projeto. Observe que as dependências externas do projeto serão gerenciadas e instaladas automaticamente pela Gradle durante o processo de construção. A adesão aos requisitos ajudará a evitar possíveis problemas e reduzirá a necessidade de abrir novos problemas no repositório do projeto.

1. Certifique -se de que você instalou e configurou o gradle.

2. Faça o download do repositório burpgpt :

   git clone https://github.com/aress31/burpgpt
   cd . b urpgpt

3. Construa o jar independente:

   ./gradlew shadowJar

Para instalar burpgpt no Burp Suite , primeiro vá para a guia Extensions e clique no botão Add . Em seguida, selecione o arquivo jar burpgpt-all localizado na pasta .libbuildlibs para carregar a extensão.

Para começar a usar o BURPGPT, os usuários precisam concluir as seguintes etapas no painel de configurações, que podem ser acessadas na barra de menus Burp Suite:

1. Digite uma OpenAI API key válida.
2. Selecione um model .
3. Defina o max prompt size . Este campo controla o comprimento prompt máximo enviado ao OpenAI para evitar exceder os modelos maxTokens dos GPT (normalmente em torno de 2048 para GPT-3 ).
4. Ajuste ou crie instruções personalizadas de acordo com seus requisitos.

Uma vez configurado conforme descrito acima, o Burp passive scanner envia cada solicitação ao OpenAI model escolhido por meio da OpenAI API para análise, produzindo descobertas de gravidade de nível Informational com base nos resultados.

burpgpt permite que os usuários adaptem o prompt de análise de tráfego usando um sistema placeholder . Para incluir informações relevantes, recomendamos o uso desses placeholders , que a extensão alça diretamente, permitindo a inserção dinâmica de valores específicos no prompt :

Esses placeholders podem ser usados ​​no prompt personalizado para gerar dinamicamente um prompt de análise de solicitação/resposta que é específico para a solicitação digitalizada.

[! NOTA]> Burp Suite fornece a capacidade de apoiar placeholders arbitrários através do uso de regras ou extensões de manuseio de sessões, como manipulador de parâmetros personalizados, permitindo uma personalização ainda maior dos prompts .

A lista a seguir de casos de uso de exemplo mostra a natureza sob medida e altamente personalizável do burpgpt , que permite que os usuários adaptem sua análise de tráfego da Web para atender às suas necessidades específicas.

• Identificando possíveis vulnerabilidades em aplicativos da Web que usam uma biblioteca criptográfica afetada por um CVE específico:

   Analyse the request and response data for potential security vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER}:
  
  Web Application URL: {URL}
  Crypto Library Name: {CRYPTO_LIBRARY_NAME}
  CVE Number: CVE-{CVE_NUMBER}
  Request Headers: {REQUEST_HEADERS}
  Response Headers: {RESPONSE_HEADERS}
  Request Body: {REQUEST_BODY}
  Response Body: {RESPONSE_BODY}
  
  Identify any potential vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER} in the request and response data and report them.
  

• Digitalização para vulnerabilidades em aplicativos da Web que usam autenticação biométrica analisando dados de solicitação e resposta relacionados ao processo de autenticação:

   Analyse the request and response data for potential security vulnerabilities related to the biometric authentication process:
  
  Web Application URL: {URL}
  Biometric Authentication Request Headers: {REQUEST_HEADERS}
  Biometric Authentication Response Headers: {RESPONSE_HEADERS}
  Biometric Authentication Request Body: {REQUEST_BODY}
  Biometric Authentication Response Body: {RESPONSE_BODY}
  
  Identify any potential vulnerabilities related to the biometric authentication process in the request and response data and report them.
  

• Analisando os dados de solicitação e resposta trocados entre funções sem servidores por possíveis vulnerabilidades de segurança:

   Analyse the request and response data exchanged between serverless functions for potential security vulnerabilities:
  
  Serverless Function A URL: {URL}
  Serverless Function B URL: {URL}
  Serverless Function A Request Headers: {REQUEST_HEADERS}
  Serverless Function B Response Headers: {RESPONSE_HEADERS}
  Serverless Function A Request Body: {REQUEST_BODY}
  Serverless Function B Response Body: {RESPONSE_BODY}
  
  Identify any potential vulnerabilities in the data exchanged between the two serverless functions and report them.
  

• Analisando os dados de solicitação e resposta para possíveis vulnerabilidades de segurança específicas para uma estrutura de aplicativo de página única (SPA):

   Analyse the request and response data for potential security vulnerabilities specific to the {SPA_FRAMEWORK_NAME} SPA framework:
  
  Web Application URL: {URL}
  SPA Framework Name: {SPA_FRAMEWORK_NAME}
  Request Headers: {REQUEST_HEADERS}
  Response Headers: {RESPONSE_HEADERS}
  Request Body: {REQUEST_BODY}
  Response Body: {RESPONSE_BODY}
  
  Identify any potential vulnerabilities related to the {SPA_FRAMEWORK_NAME} SPA framework in the request and response data and report them.
  

• Adicione um novo campo ao painel Settings que permite que os usuários defina o limite do maxTokens para solicitações, limitando assim o tamanho da solicitação. <- exclusivo da edição profissional do Burpgpt.
• Adicione suporte para conectar -se a uma instância local do AI model , permitindo que os usuários executem e interajam com o modelo em suas máquinas locais, melhorando potencialmente os tempos de resposta e a privacidade de dados . <- exclusivo da edição profissional do Burpgpt.
• Recupere o valor preciso maxTokens para cada model para transmitir os dados máximos permitidos e obter a resposta GPT mais extensa possível.
• Implemente o armazenamento de configuração persistente para preservar as configurações nas reinicializações Burp Suite . <- exclusivo da edição profissional do Burpgpt.
• Aprimore o código para análise precisa das respostas GPT no Vulnerability model para melhorar os relatórios. <- exclusivo da edição profissional do Burpgpt.

A extensão está atualmente em desenvolvimento e acolhemos feedback, comentários e contribuições para torná -lo ainda melhor.

Se esta extensão economizou tempo e aborrecimento durante uma avaliação de segurança, considere mostrar algum amor patrocinando uma xícara de café ☕ para o desenvolvedor. É o combustível que alimenta o desenvolvimento, afinal. Basta pressionar esse botão brilhante de patrocinador na parte superior da página ou clicar aqui para contribuir e manter a cafeína fluindo. ?

Você encontrou um bug? Bem, não deixe que isso se arraste! Vamos esmagar como alguns sussurros de insetos! ?

Por favor, relate quaisquer problemas no rastreador de problemas do GitHub. Juntos, tornaremos essa extensão tão confiável quanto uma barata sobrevivendo a um apocalipse nuclear!

Procurando fazer um respingo com suas habilidades loucas de codificação?

Incrível! As contribuições são bem -vindas e muito apreciadas. Por favor, envie todos os PRs no rastreador de solicitações do github Pull. Juntos, podemos tornar essa extensão ainda mais incrível!

Consulte a licença.