MCP提交

Burpmcp

BurpMCP是一款Burp Suite扩展，通过集成现代AI技术增强应用安全测试能力，提供智能辅助测试功能。

安全开发者工具 #AI测试 #安全增强 #漏洞研究 .Java

2.5分

2025-04-23 12:02:07

概述

安装

内容详情

替代品

什么是BurpMCP?

BurpMCP是Burp Suite的扩展插件，通过集成现代AI大语言模型(LLM)来增强安全测试能力。它允许测试人员在HTTP应用测试过程中实时获取AI建议，帮助分析请求、识别漏洞并生成测试用例。

如何使用BurpMCP?

安装插件后，通过右键菜单将请求发送给AI分析，在交互界面查看AI生成的测试建议和修改后的请求。支持与Claude等AI模型配合使用。

适用场景

适用于Web应用安全测试、漏洞研究、漏洞赏金狩猎，特别适合处理复杂攻击面和需要创造性思维的漏洞挖掘场景。

主要功能

AI辅助测试将HTTP请求发送给AI模型获取安全测试建议和漏洞分析

请求管理保存和管理测试请求，支持添加注释和上下文信息

多协议支持支持HTTP/1.1和HTTP/2协议测试

外带测试集成Burp Collaborator进行外带漏洞测试

优势与局限性

优势

利用AI的推理能力增强传统安全测试

直观的用户界面简化AI交互过程

支持多种AI客户端和模型

与Burp Suite深度集成

局限性

AI可能遗漏关键请求组件如Content-Length头

HTTP/2测试时可能包含无效头

CRLF处理可能影响特定漏洞测试

如何使用

安装扩展下载jar文件并通过Burp Suite加载

配置MCP客户端设置MCP服务器连接，默认运行在localhost:8181

发送请求分析右键点击请求选择"Send to BurpMCP"

与AI交互通过MCP客户端与AI讨论测试策略和结果

使用案例

自动化漏洞测试AI自动分析请求并尝试解决测试实验室漏洞

请求分析获取保存的请求并进行分析

常见问题

为什么我的HTTP/2请求失败了?可能是AI包含了无效的HTTP/2头，检查并移除任何被禁止的头字段

如何解决CRLF问题?可以启用自动LF到CRLF转换，但注意这会修改Content-Length

支持哪些AI客户端?支持任何兼容MCP协议的客户端，如Dive和Claude Desktop

相关资源

GitHub仓库项目源代码和最新版本

Dive MCP客户端推荐的MCP客户端之一

使用案例展示成功使用BurpMCP的聊天记录示例

精选MCP服务推荐

Duckduckgo MCP Server

已认证

DuckDuckGo搜索MCP服务器，为Claude等LLM提供网页搜索和内容抓取服务

Firecrawl MCP Server是一个集成Firecrawl网页抓取能力的模型上下文协议服务器，提供丰富的网页抓取、搜索和内容提取功能。

Framelink Figma MCP Server是一个为AI编程工具（如Cursor）提供Figma设计数据访问的服务器，通过简化Figma API响应，帮助AI更准确地实现设计到代码的一键转换。

百度地图MCP Server是国内首个兼容MCP协议的地图服务，提供地理编码、路线规划等10个标准化API接口，支持Python和Typescript快速接入，赋能智能体实现地图相关功能。

Exa MCP Server是一个为AI助手（如Claude）提供网络搜索功能的服务器，通过Exa AI搜索API实现实时、安全的网络信息获取。

TypeScript

1,430

5分

Edgeone Pages MCP Server

EdgeOne Pages MCP是一个通过MCP协议快速部署HTML内容到EdgeOne Pages并获取公开URL的服务

TypeScript

4.8分

Minimax MCP Server

MiniMax Model Context Protocol (MCP) 是一个官方服务器，支持与强大的文本转语音、视频/图像生成API交互，适用于多种客户端工具如Claude Desktop、Cursor等。

Context7 MCP是一个为AI编程助手提供实时、版本特定文档和代码示例的服务，通过Model Context Protocol直接集成到提示中，解决LLM使用过时信息的问题。

TypeScript

4,854

4.7分

饭桶MCP

Burp和AI结合

饭桶MCP 是一个增强版 Burp Suite 扩展工具，它能够利用现代人工智能技术来辅助应用程序安全测试人员、漏洞研究人员以及赏金猎人。每天，大型语言模型在上下文窗口大小、响应速度以及知识和推理能力方面都在不断进步。饭桶MCP 让你在测试基于 HTTP 的应用时也能借助这种不可避免的技术优势，为你提供一个超级智能的助手，帮助你探索未知的攻击面并追踪复杂的漏洞。

尽管其他适用于 Burp Suite 的 MCP 服务器存在，但它们仅能提供对 Burp Suite 工具和数据的一般访问，例如运行扫描、查看问题以及读取代理历史。饭桶MCP 则专注于通过 LLM（大语言模型）增强手动测试过程，实现了一个简洁的用户界面，方便你将特定请求作为上下文传递给 AI 并监控 MCP 消息及 AI 生成的请求。此外，该工具还针对 HTTP 1.1 和 2 进行了可靠性测试，并支持通过访问 Burp 协作器进行离线测试。

安装

从发布页面下载 JAR 文件并将其加载到 Burp 中以完成安装。

MCP 服务器默认在 localhost 的 8181 端口上运行，使用 SSE（Server-Sent Events）协议。根据你的 MCP 客户端不同，配置语法会有所变化，但以下是一个使用 Dive MCP 客户端的示例：

{
  "mcpServers": {
    "BurpMCP": {
      "transport": "sse",
      "url": "http://localhost:8181/mcp/sse"
    }
  }
}

要与 Claude Desktop 配合使用饭桶MCP，请下载 stdio-bridge.py 脚本并安装所需的依赖项：

pip3 install typer mcp

然后，将以下配置添加到你的 claude_desktop_config.json 文件中。确保主机和端口与你在 BurpMCP 中配置的一致。

{
  "mcpServers": {
    "BurpMCP": {
      "command": "python3",
      "args": ["path/to/stdio-bridge.py", "http://localhost:8181/mcp/sse"],
      "env": {}
    }
  }
}

使用方法

要将请求发送到 BurpMCP，请右键点击任何请求，然后选择 Extensions -> Send to BurpMCP。

将请求发送到 BurpMCP

该请求将在“已保存请求”选项卡中显示。每个已保存的请求都包含一个注释列，用于为 LLM 提供额外上下文信息。LLMs 还可以更新每个已保存请求中的注释，以记录重要细节或保存请求以备将来分析。

已保存请求选项卡

使用你喜欢的 MCP 客户端，你可以提示 LLM 检索已保存的请求并发送后续请求以协助测试。

检索已保存的请求

Claude 尝试解决实验室中的问题：

Claude 正在尝试解决问题

示例

查看 Showcase 中的成功案例，了解 BurpMCP 成功使用的聊天日志示例。

感谢以下人员提供了示例：

hunterverhelst

已知问题

LLMs 有时会忘记在请求中添加重要的组件，如 Content-Length 标头或 URL 编码。这不是扩展工具的问题，而是 LLM 的局限性。如果需要，请让 LLM 知道这一点，并可能需要指导它如何解决问题。
工具参数指定不应包含在 HTTP/2 请求中的禁止标头，但有时 LLMs 可能会忽略这一要求。如果 HTTP/2 请求失败，请检查请求中是否有任何无效的标头。
有时 LLMs 可能会返回中文内容，这可能与你的预期不符。请根据需要调整提示或配置。

编译

要从源码构建，请执行以下步骤：

git clone https://github.com/yourusername/burpmcp.git
cd burpmcp
mvn clean package

贡献

对于问题、功能请求或任何疑问，请打开一个 Issues。如果你想贡献代码，请提交 PR。如果你使用此工具发现了漏洞或其他有趣的事情，请发送截图或聊天日志，我很乐意将它们包含在 Showcase 中。感谢你尝试饭桶MCP，并祝你测试顺利！

AIbase是一个专注于MCP服务的平台，为AI开发者提供高质量的模型上下文协议服务，助力AI应用开发。

简体中文

用户协议

隐私政策