文章总结： 本文介绍BurpMCP工具通过MCP协议连接LLM与BurpSuite实现DAST自动化。文章详述了配置Cursor与Burp连接的步骤演示利用自然语言执行扫描及漏洞检测的实战方法。作者建议结合OWASP标准优化提示，虽存在误报局限，但该方案有效提升了大规模动态测试效率。 综合评分： 88 文章分类： WEB安全,安全工具,渗透测试,AI安全,解决方案

使用 BurpSuite MCP 实现 DAST 自动化

Xcheater

securitainment

2026年1月3日 15:16 中国香港

近期，Portswigger 团队推出了 Burp MCP，通过一条提示指令即可实现动态安全评估的自动化。MCP 技术正在迅速兴起，令人振奋。

我们已在静态应用安全测试 (SAST) 领域实现了大量自动化，但动态应用安全测试 (DAST) 方面仍存在空白。如今，我们似乎找到了解决这一难题的正确路径。

Burp Suite MCP是一项集成方案，可将大型语言模型 (LLM，如 Cursor) 直接连接至行业标准 Web 渗透测试工具包 Burp Suite。

MCP Server

ntegrate Burp Suite with AI Clients using the Model Context Protocol (MCP)

https://portswigger.net/bappstore/9952290f04ed4f628e624d0aa9dccebc?source=post_page—–923b6c0101e1—————————————

该集成利用 Model Context Protocol (MCP)协议——这是由 Anthropic 公司提出的开放标准，用于规范 AI 模型与外部工具及数据资源的交互方式。

传统做法是手动将 HTTP 请求从 Burp 复制到聊天窗口，而该集成将 Burp Suite 转变为”服务器”角色，向 AI “客户端”开放其功能。这使得 AI 能够根据您的指令自主读取日志、分析请求并直接执行攻击操作。

这意味着您只需下达指令，例如”对 /xyz 端点进行跨站脚本测试”，或”从 HTTP 历史记录中提取唯一请求并检查未授权访问”，Agent 便会自动完成！

Burp MCP 提供了以下功能：代理历史检查、代码到 Repeater 集成、扫描器自动化、Burp 配置管理、直接请求执行以及 Burp Collaborator 支持。这意味着您在 Burpsuite 中手动执行的几乎所有功能，现在都可通过提示指令完成。

接下来让我们了解如何配置该工具。本文将使用 cursor AI Agent 进行演示，因为其界面对我而言十分友好！

我使用的是 Burpsuite Professional 和 Cursor 付费版本。但您无需使用 Burp Suite Professional，MCP Server 扩展同样兼容免费的 Burp Suite Community Edition。

配置 Burp Suite MCP

首先打开 Burp，进入 Extension 标签页并完成安装。安装后，顶部将出现 “MCP” 标签页。

进入该标签页，在 Server Configuration 中启用服务。确保状态显示服务器正在运行。默认情况下，服务器监听 127.0.0.1地址的 9876端口。

另有一项 “Enable tools that can edit your config” 选项。启用后，AI agent 可通过编程方式修改 Burp 设置，如更改代理监听器或扫描范围。若您仅需 AI 读取数据和发送请求，出于安全考虑可不勾选此项。

连接 AI Agent (Cursor)：

要将 Cursor 连接到 Burp Suite MCP server，需配置 Cursor 设置。打开 Cursor 设置，查找 MCP 配置项，可直接编辑 settings.json 文件。

添加如下配置：

{
"mcpServers": {
"burp": {
"url":&nbsp;"<http://127.0.0.1:9876/sse>"
&nbsp; &nbsp; }
&nbsp; }
}

保存文件并重启 Cursor。重启后，即可使用自然语言通过 Cursor 与 Burp Suite 交互！

成功安装后，在 Cursor Settings 的 “Tools & MCP” 区域将显示 Burp MCP server 已连接。若未显示，请切换单选按钮或重启 cursor。

实战应用

完成配置后，可通过从 HTTP 历史记录获取最近 5 条 HTTP 请求来验证连接。

从 Burp Suite HTTP 历史记录获取最近 5 条 HTTP 请求，或要求 AI 将 “anything.com” 添加至扫描范围。若操作成功，即可正式开始使用！

我的使用方法

工具和 AI 会按照您的指令或提示执行操作，因此您仍是控制者，需要提供准确清晰的提示。

以高级应用安全工程师的身份，列出目标范围内的所有唯一端点，并基于 OWASP Top 10 API 安全风险执行安全评估。注意避免执行侵入性操作和任何删除任务。通过理解 API 的实际功能以及普通用户可能的滥用方式来展开分析。当发现漏洞时，请审查是否为误报，并将其发送至 repeater 供我进一步分析。

这是一种方法。另一种方法是让 AI 学习一些开源报告，例如已公开的优秀漏洞赏金报告、hacktivity 及其他来源。要求其总结结论，并在目标上测试类似漏洞。这种方式下，您实际上是让 AI 理解大量报告，然后在相关场景下对您的目标进行类似测试。

例如，可以使用以下代码仓库。

GitHub – reddelexc/hackerone-reports: Top disclosed reports from HackerOne

https://github.com/reddelexc/hackerone-reports?source=post_page—–923b6c0101e1—————————————

bugbounty-disclosed-reports/reports at main · marcotuliocnd/bugbounty-disclosed-reports

https://github.com/marcotuliocnd/bugbounty-disclosed-reports/tree/main/reports?source=post_page—–923b6c0101e1—————————————

同样，您可以尝试任何创新性的操作。如果您有其他想法，欢迎分享，我很乐意聆听和学习。

这只是我目前使用 Burp MCP 进行实验的一种方式。诚然存在局限性、误报问题，以及某些场景下手动测试仍更为有效。

但能够通过描述 测试目标而非手动操作每项 Burp 功能，这一点确实令人兴奋。我认为这能够节省大量时间，特别是在大规模 DAST 任务中。

我仍在探索 MCP 的不同提示、工作流程和攻击模式。如果您已在使用或计划尝试，非常期待了解您的使用方法和想法。

希望本文对您有所帮助。如有疑问或建议，欢迎通过 Twitter 联系我，我将乐于提供帮助或向您学习。

Happy Hacking!

DAST Automation Using BurpSuite MCP

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：securitainment Xcheater《使用 BurpSuite MCP 实现 DAST 自动化》