BurpSuite插件|利用AI为复杂的HTTP请求自动生成Fuzz字典

admin
admin
admin
0
文章
0
评论
2026-01-05 17:54:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍了一款名为BurpAIFuzzer的BurpSuite插件,利用OpenAI或Claude等LLM模型为复杂HTTP请求自动生成Fuzz字典。该插件支持自定义模板、一键标记测试位置、与Intruder深度集成,并能持久化配置,旨在提升渗透测试中针对特定上下文生成攻击载荷的效率。 综合评分: 93 文章分类: 渗透测试,安全工具,WEB安全,AI安全

cover_image

Burp Suite 插件 | 利用AI为复杂的 HTTP 请求自动生成 Fuzz 字典

238469

夜组安全

2026年1月5日 08:01 青海

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:baobeiaini_ya

朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全设为星标”,否则可能就看不到了啦!

工具介绍

Burp AI Fuzzer一个基于 AI 驱动的 Burp Suite 渗透测试辅助插件,旨在利用大语言模型(LLM)的上下文理解能力,为复杂的 HTTP 请求自动生成针对性的 Fuzz 字典。

工具功能

  • 智能字典生成:支持 OpenAI (GPT-3.5/4) 和 Claude (Opus/Sonnet) 等主流模型,自动解析请求上下文生成高质量 Fuzz 字典。
  • 强制规则约束:内置底层提示词约束,确保 AI 仅输出纯净的 Payload 列表,自动处理 § 标记位的针对性生成。
  • 多模板管理:内置通用、SQL 注入、XSS 等提示词模板,支持用户自定义新增、编辑和删除模板,模板数据持久化在本地 JSON 文件中。
  • 便捷标记工具:请求编辑器支持右键“一键标记”,快速为参数添加 § 定界符。
  • Intruder 深度集成:支持通过 § 标记 Fuzz 位置,一键发送至 Intruder,并作为 Intruder 的自定义 Payload 数据源。
  • 配置持久化:API 配置自动保存至 Burp 全局设置,模板数据独立存储,方便迁移和备份。

快速开始

1. 编译项目

项目使用 Maven 管理依赖,你可以直接运行:

mvn clean package

编译完成后,在 target/ 目录下会生成 ai-fuzzer-1.0-SNAPSHOT-jar-with-dependencies.jar

2. 安装插件

  1. 打开 Burp Suite。
  2. 进入 Extensions -> Installed -> Add
  3. 选择 Java 类型,并加载上述编译好的 JAR 文件。

3. 配置 AI

  1. 切换到 AI Fuzzer 标签页。
  2. 填写你的 API Key、Base URL(如 https://api.openai.com/v1)以及模型名称。
  3. 点击 保存配置 并点击 测试连接 确保 API 正常。

🛠 使用说明

1. 发送请求至 AI Fuzzer

在 Burp 的 Proxy、Repeater 或其他模块中,右键点击请求,选择 Send to AI Fuzzer

2. 标记位置与模版选择

  1. 在插件编辑框中,使用 § 包裹你想测试的参数值,例如 id=§1001§
  2. 选择合适的提示词模版,或点击 管理模板 自定义你的 Fuzz 逻辑。

3. 生成与集成爆破

  1. 点击 生成 AI 字典,Payload 列表将自动填充。
  2. 点击 发送至 Intruder,插件将自动同步请求和 Payload。

  1. 在 Intruder 的 Payloads 选项卡中,确保 Payload type 为 Extension-generated,并选择 AI Fuzzer Generated

工具获取

点击关注下方名片进入公众号

回复关键字【260105】获取下载链接

往期精彩

[一款轻量级的CTF/渗透测试Fuzz工具 | 多编码方式、多线程、代理转发

2026-01-04

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496045&idx=1&sn=040873c2f104d627857d7fa4666645c0&scene=21#wechatredirect)[25年结束了 黑客们有啥收获?

2025-12-31

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496036&idx=1&sn=ef3a0c4684435cc9fed64c8a49542298&scene=21#wechatredirect)[一个功能强大的 Docker 远程 API 漏洞利用工具

2025-12-30

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496019&idx=1&sn=ab3beb8bc4246f83556fb702856c9fa8&scene=21#wechatredirect)[DNSLOG、HTTPLOG无回显漏洞测试辅助平台 | 辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用

2025-12-29

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247495986&idx=1&sn=103764658f5011233a32103adddb1aa4&scene=21#wechatredirect)[ETH钱包碰撞器,ETH钱包生成 ETH钱包暴力破解 ETH对撞 ETH撞库

2025-12-26

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247495970&idx=1&sn=0d3904adb7852d97d06608eb33c5f03d&scene=21#wechatredirect)

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:夜组安全 238469《Burp Suite 插件 | 利用AI为复杂的 HTTP 请求自动生成 Fuzz 字典》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0