🚀 基于大语言模型(LLM)的智能 Web 漏洞扫描工具(Burp Suite 扩展)
- 🧠 AI 驱动漏洞分析:理解 HTTP 语义,而不仅仅是规则匹配
- 🎯 动态 Payload 生成:根据上下文自动构造攻击Payload
- ⚡ Burp 无缝集成:直接嵌入日常渗透测试流程
- 📉 降低误报率:比传统扫描器更“聪明”
- 🔍 支持逻辑漏洞分析(传统工具弱项)
- 配置界面截图
- 扫描界面截图
HTTP Request → AI Engine → Payload Generator → Scanner → Result Analyzer → UI
| 模块 | 说明 |
|---|---|
core |
AI 分析引擎 |
scanner |
扫描逻辑 |
model |
数据结构 |
ui |
Burp 插件界面 |
- 自动理解接口参数语义
- 分析请求/响应上下文
- 输出漏洞解释 + 修复建议
支持但不限于:
- SQL Injection
- XSS
- SSRF
- 权限绕过(IDOR)
- 敏感信息泄露
- 捕获 HTTP 请求
- AI 分析接口含义
- 自动生成 Payload
- 发起测试请求
- 分析响应结果
- 输出漏洞报告
| 传统方式 | AI-Scanner |
|---|---|
| 固定字典 | 动态生成 |
| 无上下文 | 理解语义 |
| 命中率低 | 命中率高 |
mvn clean package生成:
target/*-jar-with-dependencies.jar
- 打开 Burp Suite
- Extender → Extensions
- Add → 选择 jar 文件
- 加载成功 🎉
- 在 Proxy / Repeater 中拦截请求
- 右键 → 启动 AI 扫描
- 查看 UI 面板中的分析结果
- 风险等级标记
- AI 分析说明
- 请求/响应对比
- Payload 详情
| 能力 | 传统扫描器 | AI-Scanner |
|---|---|---|
| Payload | 固定规则 | AI生成 |
| 逻辑漏洞 | ❌ | ✅ |
| 误报率 | 高 | 低 |
| 自动化 | 高 | 更智能 |
- 请仅用于授权测试
- AI 分析结果需人工复核
- 不要提交 API Key 到仓库
👉 推荐从 Releases 下载插件:
.jar文件- 版本更新说明
- 功能完全由gemini pro重构,我不会任何代码。
- 提交 Issue 不理
- 提交 PR 不理
- 提出功能建议 不理
- 一切功能跟Ai说去吧
如果这个项目对你有帮助,欢迎点个 ⭐
MIT License
