burpgpt

burpgpt использует силу AI для обнаружения уязвимостей безопасности, которые могут пропустить традиционные сканеры. Он отправляет веб -трафик в model OpenAI , указанную пользователем, обеспечивая сложный анализ в пассивном сканере. Это расширение предлагает настраиваемые prompts , которые позволяют адаптированному анализу веб -трафика для удовлетворения конкретных потребностей каждого пользователя. Ознакомьтесь с разделом примеров использования для вдохновения.

Расширение генерирует автоматический отчет о безопасности, который суммирует потенциальные проблемы безопасности на основе данных о prompt пользователя и в реальном времени из запросов, выданных Burp . Используя AI и обработку естественного языка, расширение упрощает процесс оценки безопасности и предоставляет специалистам безопасности более высокий уровень обзора отсканированного приложения или конечной точки. Это позволяет им более легко выявлять потенциальные проблемы безопасности и расставлять приоритеты в своем анализе, а также охватывает большую потенциальную поверхность атаки.

• Добавляет passive scan check , позволяя пользователям отправлять данные HTTP в GPT model -контролируемой OpenAI для анализа через систему placeholder .
• Использует мощность OpenAI's GPT models для проведения всестороннего анализа трафика, что позволяет обнаружить различные проблемы, помимо просто уязвимостей безопасности в сканированных приложениях.
• Включает гранулированный контроль над количеством GPT tokens используемых в анализе, позволяя точно регулировать maximum prompt length .
• Предлагает пользователям несколько OpenAI models на выбор, что позволяет им выбрать тот, который наилучшим образом соответствует их потребностям.
• Упрощает пользователей настраивать prompts и выпускать безграничные возможности для взаимодействия с OpenAI models . Просмотрите примеры вариантов использования для вдохновения.
• Интегрируется с Burp Suite , предоставляя все собственные функции для предварительной и постобработки, включая отображение результатов анализа непосредственно в пользовательском интерфейсе Burp для эффективного анализа.
• Обеспечивает функциональность устранения неполадок с помощью Burp Event Log , что позволяет пользователям быстро решать проблемы связи с OpenAI API .

• Операционная система: совместим с операционными системами Linux , macOS и Windows .

• Java Development Kit (JDK): Version 11 или позже.

• Burp Suite Professional или Community Edition: Version 2023.3.2 или более поздней версии.

  [! Важно] Обратите внимание, что использование любой версии ниже 2023.3.2 может привести к Java.lang.nosuchmethoderror. Крайне важно использовать указанную версию или более недавнюю, чтобы избежать этой проблемы.

• Градл: Version 6.9 или более поздней версии (рекомендуется). Файл build.gradle представлен в репозитории проекта.

• Установите переменную среды JAVA_HOME , чтобы указать на каталог установки JDK .

Пожалуйста, убедитесь, что все системные требования, включая совместимую версию Burp Suite , выполняются перед созданием и заведением проекта. Обратите внимание, что внешние зависимости проекта будут автоматически управляться и установить Gradle в процессе сборки. Придерживание требований поможет избежать потенциальных проблем и уменьшить необходимость открытия новых проблем в репозитории проекта.

1. Убедитесь, что у вас установлен и настроен Gradle.

2. Загрузите репозиторий burpgpt :

   git clone https://github.com/aress31/burpgpt
   cd . b urpgpt

3. Создайте автономную jar :

   ./gradlew shadowJar

Чтобы установить burpgpt в Burp Suite , сначала перейдите на вкладку Extensions и нажмите кнопку Add . Затем выберите файл jar burpgpt-all расположенный в папке .libbuildlibs для загрузки расширения.

Чтобы начать использовать BurpGPT, пользователи должны выполнить следующие шаги на панели «Настройки», к которой можно получить доступ из строки меню Burp Suite:

1. Введите действительный OpenAI API key .
2. Выберите model .
3. Определите max prompt size . Это поле контролирует максимальную длину prompt , отправленную в OpenAI , чтобы избежать превышения maxTokens моделей GPT (обычно около 2048 для GPT-3 ).
4. Настроить или создавать пользовательские подсказки в соответствии с вашими требованиями.

После настройки, как указано выше, Burp passive scanner отправляет каждый запрос в выбранную OpenAI model через OpenAI API для анализа, создавая результаты тяжести Informational уровня на основе результатов.

burpgpt позволяет пользователям адаптировать prompt для анализа трафика с использованием системы placeholder . Чтобы включить соответствующую информацию, мы рекомендуем использовать эти placeholders , которые напрямую обрабатывают расширение, позволяя динамическому внедрению конкретных значений в prompt :

Эти placeholders могут использоваться в пользовательской prompt для динамического генерации prompt анализа запросов/ответов, которая характерна для отсканированного запроса.

[! Примечание]> Burp Suite предоставляет возможность поддержать произвольные placeholders посредством использования правил обработки сеанса или расширений, таких как пользовательский обработчик параметров, что позволяет получить еще большую настройку prompts .

В следующем списке примеров вариантов использования демонстрируется индивидуальный и очень настраиваемый характер burpgpt , который позволяет пользователям адаптировать анализ своего веб -трафика для удовлетворения их конкретных потребностей.

• Выявление потенциальных уязвимостей в веб -приложениях, которые используют крипто -библиотеку, затронутую конкретным CVE:

   Analyse the request and response data for potential security vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER}:
  
  Web Application URL: {URL}
  Crypto Library Name: {CRYPTO_LIBRARY_NAME}
  CVE Number: CVE-{CVE_NUMBER}
  Request Headers: {REQUEST_HEADERS}
  Response Headers: {RESPONSE_HEADERS}
  Request Body: {REQUEST_BODY}
  Response Body: {RESPONSE_BODY}
  
  Identify any potential vulnerabilities related to the {CRYPTO_LIBRARY_NAME} crypto library affected by CVE-{CVE_NUMBER} in the request and response data and report them.
  

• Сканирование уязвимостей в веб -приложениях, которые используют биометрическую аутентификацию путем анализа данных запроса и ответа, связанных с процессом аутентификации:

   Analyse the request and response data for potential security vulnerabilities related to the biometric authentication process:
  
  Web Application URL: {URL}
  Biometric Authentication Request Headers: {REQUEST_HEADERS}
  Biometric Authentication Response Headers: {RESPONSE_HEADERS}
  Biometric Authentication Request Body: {REQUEST_BODY}
  Biometric Authentication Response Body: {RESPONSE_BODY}
  
  Identify any potential vulnerabilities related to the biometric authentication process in the request and response data and report them.
  

• Анализ данных запроса и ответа, обмениваемых между функциями без серверов на потенциальную уязвимость безопасности:

   Analyse the request and response data exchanged between serverless functions for potential security vulnerabilities:
  
  Serverless Function A URL: {URL}
  Serverless Function B URL: {URL}
  Serverless Function A Request Headers: {REQUEST_HEADERS}
  Serverless Function B Response Headers: {RESPONSE_HEADERS}
  Serverless Function A Request Body: {REQUEST_BODY}
  Serverless Function B Response Body: {RESPONSE_BODY}
  
  Identify any potential vulnerabilities in the data exchanged between the two serverless functions and report them.
  

• Анализ данных запроса и ответа для потенциальных уязвимостей безопасности, специфичных для рамки приложения (SPA) на одну страницу:

   Analyse the request and response data for potential security vulnerabilities specific to the {SPA_FRAMEWORK_NAME} SPA framework:
  
  Web Application URL: {URL}
  SPA Framework Name: {SPA_FRAMEWORK_NAME}
  Request Headers: {REQUEST_HEADERS}
  Response Headers: {RESPONSE_HEADERS}
  Request Body: {REQUEST_BODY}
  Response Body: {RESPONSE_BODY}
  
  Identify any potential vulnerabilities related to the {SPA_FRAMEWORK_NAME} SPA framework in the request and response data and report them.
  

• Добавьте новое поле к панели Settings , которая позволяет пользователям устанавливать ограничение maxTokens для запросов, тем самым ограничивая размер запроса. <- Эксклюзивный для Pro Edition Burpgpt.
• Добавьте поддержку для подключения к локальному экземпляру AI model , позволяя пользователям работать и взаимодействовать с моделью на своих локальных машинах, потенциально улучшая время отклика и конфиденциальность данных . <- Эксклюзивный для Pro Edition Burpgpt.
• Получить точное значение maxTokens для каждой model , чтобы передавать максимально допустимые данные и получить наиболее широкий отклик GPT .
• Реализуйте постоянное хранилище конфигурации, чтобы сохранить настройки в перезапуске Burp Suite . <- Эксклюзивный для Pro Edition Burpgpt.
• Увеличить код для точного анализа ответов GPT в Vulnerability model для улучшения отчетности. <- Эксклюзивный для Pro Edition Burpgpt.

Расширение в настоящее время находится в стадии разработки, и мы приветствуем отзывы, комментарии и вклад, чтобы сделать его еще лучше.

Если это расширение сэкономило вам время и хлопот во время оценки безопасности, рассмотрите возможность показать некоторую любовь, спонсируя чашку кофе для разработчика. В конце концов, это топливо, которое поддерживает развитие. Просто нажмите эту блестящую кнопку спонсора в верхней части страницы или нажмите здесь, чтобы внести свой вклад и сохранить кофеин. ?

Вы нашли ошибку? Ну, не позволяйте ему ползти! Давайте раздавим его вместе, как пара шепот жуков! ??

Пожалуйста, сообщите о любых вопросах по трекеру GitHub. Вместе мы сделаем это расширение таким же надежным, как таракан, переживший ядерный апокалипсис!

Хотите сделать всплеск с вашими навыками безумного кодирования?

Потрясающий! Взносы приветствуются и очень ценятся. Пожалуйста, отправьте все PRS на трекере GitHub Pull Tracker. Вместе мы можем сделать это расширение еще более удивительным!

Смотрите лицензию.