关键词

Burp Suite安全测试AI集成LLMWeb安全漏洞扫描HTTP分析渗透测试

使用说明

项目简介

Burp Suite MCP Server 扩展程序是一个桥梁,它使得AI客户端能够通过标准的 Model Context Protocol (MCP) 协议与强大的安全测试工具 Burp Suite 进行交互。这意味着你可以利用 AI 的能力来自动化或增强你的 Web 安全测试流程,例如,让 AI 客户端调用 Burp Suite 的功能来分析 HTTP 请求、扫描漏洞或管理会话。

主要功能点

  • 连接 Burp Suite 和 AI 客户端: 允许 AI 客户端通过 MCP 协议控制和访问 Burp Suite 的功能。
  • 资源访问: AI 客户端可以访问 Burp Suite 提供的各种安全测试资源,例如请求历史、扫描结果等。
  • 工具调用: AI 客户端可以调用 Burp Suite 提供的各种安全测试工具,例如主动扫描、被动扫描、重放攻击等。
  • Prompt 模板支持: 虽然文档中没有明确提及 Prompt 模板,但作为 MCP 服务器,它应该支持定义和渲染 Prompt 模板,以便定制与 LLM 的交互方式(根据 MCP 定义推断,实际功能需查看代码)。
  • 支持多种 MCP 客户端: 兼容支持 STDIO 和 SSE 两种 MCP 客户端连接方式,方便集成不同类型的 AI 应用。
  • 内置 STDIO 代理服务器: 为了兼容仅支持 STDIO 的 MCP 客户端(如 Claude Desktop),扩展程序内置了代理服务器,可以将 STDIO 请求转换为 SSE 请求,桥接到 Burp Suite 的 MCP 服务器。
  • 自动 Claude Desktop 配置: 提供一键安装程序,简化 Claude Desktop 客户端的配置过程。

安装步骤

  1. 克隆仓库: 首先,你需要克隆 'mcp-server' 仓库到本地。 
    git clone https://github.com/PortSwigger/mcp-server.git
  2. 进入项目目录: 切换到 'burp-mcp' 目录。 
    cd burp-mcp
  3. 构建 JAR 文件: 使用 Gradle 构建扩展程序的 JAR 文件。 
    ./gradlew embedProxyJar
    构建成功后,JAR 文件位于 'build/libs/burp-mcp-all.jar'。
  4. 打开 Burp Suite: 启动你的 Burp Suite 应用程序。
  5. 添加扩展: 导航到 Burp Suite 的 "Extensions" 选项卡,点击 "Add"。
  6. 选择扩展类型: 在 "Extension Type" 中选择 "Java"。
  7. 选择 JAR 文件: 点击 "Select file ...",选择之前构建的 'burp-mcp-all.jar' 文件。
  8. 加载扩展: 点击 "Next" 加载扩展。加载成功后,MCP Server 扩展将在 Burp Suite 中激活。

服务器配置

MCP 服务器的配置在 Burp Suite UI 的 "MCP" 选项卡中进行。

  • 启用 MCP 服务器: 通过 "Enabled" 复选框控制 MCP 服务器的启用/禁用。
  • 启用配置编辑工具: "Enable tools that can edit your config" 复选框允许 MCP 服务器暴露可以编辑 Burp 配置文件的工具 (高级功能,谨慎使用)。
  • 高级选项: 可以配置 MCP 服务器监听的端口和主机。默认监听地址为 'http://127.0.0.1:9876'。

MCP 客户端配置 (以 Claude Desktop 为例):

要使 MCP 客户端 (例如 Claude Desktop) 连接到 Burp Suite MCP Server,你需要配置客户端以连接到 Burp Suite 提供的 MCP 服务。 Claude Desktop 客户端需要配置 MCP 服务器的启动命令和参数。

配置信息 (JSON 格式示例,用于 Claude Desktop 客户端配置):

{
  "mcpServers": {
    "burp": {
      "command": "<Burp Suite 自带的 Java 可执行文件的路径>",
      "args": [
          "-jar",
          "<mcp-proxy-all.jar 代理服务器 JAR 文件的路径>",
          "--sse-url",
          "<Burp Suite MCP 服务器的 SSE URL,例如 http://127.0.0.1:9876 或 http://127.0.0.1:9876/sse,取决于 Burp Suite 扩展配置>"
      ]
    }
  }
}

参数注释:

  • 'command': 指向 Burp Suite 安装包中自带的 Java 可执行文件。Claude Desktop 需要使用 Java 来运行代理服务器。
  • 'args': 启动代理服务器所需的参数列表。
    • '"-jar"': 指定运行 JAR 文件。
    • '"<mcp-proxy-all.jar 代理服务器 JAR 文件的路径>"': 指向 'mcp-proxy-all.jar' 文件的完整路径。这个 JAR 文件是 Burp Suite MCP Server 扩展程序自带的 STDIO 代理服务器。你可以通过扩展程序的安装器选项提取这个 JAR 文件。
    • '"--sse-url"': 指定 Burp Suite MCP 服务器的 SSE URL。这个 URL 需要与你在 Burp Suite MCP Server 扩展程序中配置的地址一致。

注意: Claude Desktop 客户端实际上连接的是 'mcp-proxy-all.jar' 代理服务器,而不是直接连接 Burp Suite 的 SSE 服务器。代理服务器负责将 Claude Desktop 的 STDIO 请求转换为 SSE 请求,并转发给 Burp Suite MCP Server。

基本使用方法

  1. 确保 Burp Suite 已经启动,并且 MCP Server 扩展程序已加载并启用。
  2. 配置你的 MCP 客户端 (例如 Claude Desktop),使其连接到 Burp Suite MCP Server (或 STDIO 代理服务器,如果客户端仅支持 STDIO)。
  3. 在你的 MCP 客户端中,你可以开始利用 Burp Suite 提供的资源和工具进行安全测试相关的操作。例如,你可以指示 AI 客户端获取 Burp Suite 的请求历史,或者调用主动扫描工具扫描目标 URL。具体的功能取决于 Burp Suite MCP Server 扩展程序实现的工具和资源,以及你的 MCP 客户端的功能。

信息

分类

开发者工具

访问项目