渗透人狂喜!BurpSuite插件:AI自动生成复杂HTTPFuzz字典

admin
admin
admin
0
文章
0
评论
2026-01-07 02:33:36 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍BurpAIFuzzer插件,利用大语言模型自动生成HTTP请求的Fuzz字典。它支持OpenAI和Claude模型,内置SQL注入与XSS模板,并深度集成BurpIntruder。用户编译安装后配置API,通过标记参数即可一键生成Payload并进行测试,显著提升渗透效率。 综合评分: 83 文章分类: 安全工具,渗透测试,WEB安全

cover_image

渗透人狂喜!Burp Suite 插件:AI 自动生成复杂 HTTP Fuzz 字典

易云安全应急响应中心

2026年1月6日 16:22 江苏

点击上方“蓝字”关注我们吧!

工具介绍

Burp AI Fuzzer一个基于 AI 驱动的 Burp Suite 渗透测试辅助插件,旨在利用大语言模型(LLM)的上下文理解能力,为复杂的 HTTP 请求自动生成针对性的 Fuzz 字典。

工具功能

  • 智能字典生成:支持 OpenAI (GPT-3.5/4) 和 Claude (Opus/Sonnet) 等主流模型,自动解析请求上下文生成高质量 Fuzz 字典。
  • 强制规则约束:内置底层提示词约束,确保 AI 仅输出纯净的 Payload 列表,自动处理 § 标记位的针对性生成。
  • 多模板管理:内置通用、SQL 注入、XSS 等提示词模板,支持用户自定义新增、编辑和删除模板,模板数据持久化在本地 JSON 文件中。
  • 便捷标记工具:请求编辑器支持右键“一键标记”,快速为参数添加 § 定界符。
  • Intruder 深度集成:支持通过 § 标记 Fuzz 位置,一键发送至 Intruder,并作为 Intruder 的自定义 Payload 数据源。
  • 配置持久化:API 配置自动保存至 Burp 全局设置,模板数据独立存储,方便迁移和备份。

快速开始

1. 编译项目

项目使用 Maven 管理依赖,你可以直接运行:

mvn clean package

编译完成后,在 target/ 目录下会生成 ai-fuzzer-1.0-SNAPSHOT-jar-with-dependencies.jar

2. 安装插件

  1. 打开 Burp Suite。
  2. 进入 Extensions -> Installed -> Add
  3. 选择 Java 类型,并加载上述编译好的 JAR 文件。

3. 配置 AI

  1. 切换到 AI Fuzzer 标签页。
  2. 填写你的 API Key、Base URL(如 https://api.openai.com/v1)以及模型名称。
  3. 点击 保存配置 并点击 测试连接 确保 API 正常。

🛠 使用说明

1. 发送请求至 AI Fuzzer

在 Burp 的 Proxy、Repeater 或其他模块中,右键点击请求,选择 Send to AI Fuzzer

2. 标记位置与模版选择

  1. 在插件编辑框中,使用 § 包裹你想测试的参数值,例如 id=§1001§
  2. 选择合适的提示词模版,或点击 管理模板 自定义你的 Fuzz 逻辑。

3. 生成与集成爆破

  1. 点击 生成 AI 字典,Payload 列表将自动填充。
  2. 点击 发送至 Intruder,插件将自动同步请求和 Payload。

  1. 在 Intruder 的 Payloads 选项卡中,确保 Payload type 为 Extension-generated,并选择 AI Fuzzer Generated

工具获取

https://github.com/238469/burp-ai-fuzzer

文章来源:夜组安全

免责声明

本文素材(包括内容、图片)均来自互联网,仅为传递信息之用。如有侵权,请联系我们删除。

END

淮安易云科技有限公司网络安全部**

我们致力于保障客户的网络安全,监控事件并采取适当措施,设计和实施安全策略,维护设备和软件,进行漏洞扫描和安全审计,团队协调处理网络攻击、数据泄露等安全事故,并负责安全服务项目实施,包括风险评估、渗透测试、安全扫描、安全加固、应急响应、攻防演练、安全培训等服务,确保客户在网络空间中的安全。

易云安全应急响应中心

专业的信息安全团队,给你最安全的保障。定期推送漏洞预警、技术分享文章和网络安全知识,让各位了解学习安全知识,普及安全知识、提高安全意识。

扫码关注

点分享

点收藏

点在看

点点赞

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:易云安全应急响应中心 《渗透人狂喜!Burp Suite 插件:AI 自动生成复杂 HTTP Fuzz 字典》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0