Burpsuite联动人工智能(AI)自动化漏洞分析

BurpGPT 是一款人工智能驱动的漏洞检测工具,重新定义了 Web 应用程序安全。其被动扫描功能、可定制的提示以及与 Burp Suite 的无缝集成使安全专家能够准确有效地检测漏洞。通过利用 OpenAI的GPT模型,BurpGPT提供超越传统扫描方法的全面流量分析。使用 BurpGPT 拥抱漏洞评估的未来,并加强您的网络安全防御,抵御不断变化的威胁。

前言

隨著人工智慧和自然语言处理技术的不断发展,AI & GPT(生成式预训练模型)在安全测试领域的应用越来越受关注。这些工具利用AI的强大能力,能够自动生成测试用例、识别安全漏洞和评估系统的安全性。本文将介绍基于AI & GPT的安全测试工具的概念和应用,以及它们在软件开发和網路安全中的重要性。

基于 AI & GPT 的安全测试工具在软件开发和网络安全中具有广泛的应用。它们可以帮助开发团队识别潜在的安全漏洞、评估系统的安全性,并提供改进建议。以下是一些常见的应用场景:自动化测试,安全漏洞识别,安全补丁自动化,异常检测,AI 模型部署安全。

BurpGPT

Burp Suite 扩展集成了 OpenAI 的 GPT,可以执行额外的被动扫描以发现高度定制的漏洞,并支持运行任何类型的基于流量的分析。

Burpsuite联动人工智能(AI)自动化漏洞分析

项目地址:https://github.com/aress31/burpgpt


burpgpt 利用 AI 的强大功能来检测传统扫描程序可能遗漏的安全漏洞。它将网络流量发送到用户指定的 OpenAI model ,从而在被动扫描器中实现复杂的分析。此扩展提供可自定义的 prompts ,可以进行定制的网络流量分析,以满足每个用户的特定需求。查看示例用例部分以获得灵感。


该扩展程序会生成一份自动安全报告,该报告根据用户的 prompt 和来自 Burp 发出的请求的实时数据总结潜在的安全问题。通过利用 AI 和自然语言处理,该扩展简化了安全评估流程,并为安全专业人员提供了扫描的应用程序或端点的更高级别的概述。这使他们能够更轻松地识别潜在的安全问题并确定分析的优先级,同时覆盖更大的潜在攻击面。


「安装」


git clone https://github.com/aress31/burpgpt 克隆项目到本地
gradle shadowJar 编译生成 jar 文件,文件在目录:lib/build/libs/
随后打开burpsuite,使用Extensions add 选择目录地址添加插件
ok

「使用」


在 burpsuite 工具栏里面会出现一个新的 Burpgpt 栏目,点击设置 API,模型,设置字段长度,设置自定义提示
在 proxy 历史里面或者选择一个请求右键,点击 Do passive scan ,会自动使用 Burpgpt 检测扫描请求的安全漏洞,会自动生成报告。
随后会自动调用 gpt 中的分析模型,对请求以及响应进行漏洞自动化分析

「测试」


本地搭建 Dvwa 靶场进行测试。
对靶场中各个请求使用 Burpgpt 调用 gpt 进行自动化被动扫描漏洞分析,会自动生成报告。

「总结」


该程序有社区版,以及专业版,和 burpsuite 一样,专业版需要付费,大家自行测试后,交流讨论。

參考

https://github.com/aress31/burpgpt
https://burpgpt.app/

原创文章,作者:batsom,如若转载,请注明出处:https://cncso.com/tw/brupsute-linked-chatgpt-automated-vulnerability-analysis.html

讚! (0)
以前的 2024年2月19日 下午10:42
下一個 2024年2月22日 下午6:39

相關推薦