BurpGPT实战教程：如何构建针对特定CVE的安全检测提示词

【免费下载链接】burpgpt A Burp Suite extension that integrates OpenAI's GPT to perform an additional passive scan for discovering highly bespoke vulnerabilities and enables running traffic-based analysis of any type. 项目地址: https://gitcode.com/gh_mirrors/bu/burpgpt

BurpGPT是一款强大的Burp Suite扩展，它集成了OpenAI的GPT模型，能够执行额外的被动扫描以发现高度定制化的漏洞，并支持基于流量的各种分析。本文将详细介绍如何为特定CVE构建有效的安全检测提示词，帮助安全测试人员更精准地发现目标漏洞。

为什么需要定制CVE检测提示词？

传统的漏洞扫描工具往往依赖于预定义的规则库，对于新出现的CVE或特定场景下的漏洞检测能力有限。而BurpGPT通过结合GPT模型的自然语言理解能力和安全专业知识，可以实现更灵活、更精准的漏洞检测。定制针对特定CVE的提示词，能够让GPT模型聚焦于该漏洞的特征，提高检测效率和准确性。

BurpGPT提示词设置界面介绍

在Burp Suite中安装并启用BurpGPT扩展后，我们可以在设置界面找到提示词相关的配置选项。通过lib/src/main/java/burpgpt/gui/views/SettingsView.java文件中的代码实现，我们可以看到BurpGPT提供了一个文本区域用于输入提示词，并且支持设置最大提示词长度。

JLabel promptLabel = new JLabel("Prompt:");
promptField = new JTextArea(myBurpExtension.getPrompt(), 14, 20);
promptField.setWrapStyleWord(true);
promptField.setLineWrap(true);
JScrollPane promptScrollPane = new JScrollPane(promptField);

构建特定CVE检测提示词的核心要素

1. CVE漏洞描述

在提示词中首先需要清晰描述目标CVE的漏洞原理、影响范围和利用条件。例如，对于CVE-2021-44228（Log4j漏洞），可以描述为："CVE-2021-44228是Apache Log4j2中的远程代码执行漏洞，当应用程序使用Log4j2记录包含特殊构造的字符串时，攻击者可以通过JNDI注入执行任意代码。"

2. 检测规则和特征

接下来需要定义具体的检测规则和特征，告诉GPT模型应该关注哪些方面。例如："请检查HTTP请求和响应中是否包含以下特征：${jndi:ldap://、${jndi:rmi://、${jndi:dns://等JNDI注入 payload，以及可能用于触发漏洞的特殊字符和编码方式。"

3. 使用BurpGPT提供的占位符

BurpGPT提供了一系列占位符，可以在提示词中动态插入HTTP请求和响应的相关信息。通过lib/src/main/java/burpgpt/gui/views/PlaceholdersView.java文件，我们可以了解到这些占位符的作用：

"The prompt customization feature provided by the extension allows users to tailor traffic analysis prompts using a placeholder system. For optimal results, it is recommended to use the placeholders provided by the extension."

常用的占位符包括请求方法、URL、请求头、请求体、响应状态码、响应头和响应体等。在构建CVE检测提示词时，合理使用这些占位符可以让GPT模型更全面地分析HTTP流量。

4. 输出格式要求

为了便于解析和处理GPT模型的输出结果，在提示词中可以指定统一的输出格式。例如："如果检测到可能存在CVE-2021-44228漏洞，请按照以下格式输出结果：[漏洞名称]:[漏洞位置]:[风险等级]:[详细描述]。如果未检测到漏洞，请输出'未发现目标漏洞'。"

针对特定CVE的提示词示例

下面以CVE-2021-44228（Log4j漏洞）为例，展示一个完整的检测提示词：

请分析以下HTTP请求和响应，判断是否存在CVE-2021-44228（Log4j远程代码执行漏洞）。

CVE-2021-44228是Apache Log4j2中的远程代码执行漏洞，当应用程序使用Log4j2记录包含特殊构造的字符串时，攻击者可以通过JNDI注入执行任意代码。

检测规则：
1. 检查请求和响应中是否包含${jndi:ldap://、${jndi:rmi://、${jndi:dns://等JNDI注入 payload。
2. 关注可能用于触发漏洞的特殊字符和编码方式，如${、}、:等。
3. 分析应用程序对用户输入的处理方式，判断是否存在日志记录用户可控输入的情况。

HTTP请求信息：
请求方法：{METHOD}
请求URL：{URL}
请求头：{REQUEST_HEADERS}
请求体：{REQUEST_BODY}

HTTP响应信息：
响应状态码：{RESPONSE_STATUS}
响应头：{RESPONSE_HEADERS}
响应体：{RESPONSE_BODY}

如果检测到可能存在CVE-2021-44228漏洞，请按照以下格式输出结果：[CVE-2021-44228]:[漏洞位置]:[高风险]:[详细描述]。如果未检测到漏洞，请输出'未发现CVE-2021-44228漏洞'。

优化提示词的技巧

1. 控制提示词长度

BurpGPT对提示词长度有一定限制，通过lib/src/main/java/burp/MyScanCheck.java文件中的代码可以看到：

+ "<li>Maximum prompt size: %s</li>"

因此，在构建提示词时需要注意控制长度，确保关键信息优先展示。如果提示词过长，系统会自动截断：

if (prompt.length() > maxPromptSize) {
    prompt = prompt.substring(0, maxPromptSize);
}

2. 精炼语言表达

使用简洁、准确的语言描述漏洞特征和检测规则，避免冗余信息。例如，使用"检测JNDI注入 payload"代替"检测可能包含JNDI注入 payload的字符串"。

3. 迭代优化

根据实际检测结果不断调整和优化提示词。如果发现误报较多，可以增加更严格的检测条件；如果漏报较多，可以扩展检测规则或调整关键词。

总结

构建针对特定CVE的安全检测提示词是BurpGPT使用中的关键技巧，它能够显著提高漏洞检测的准确性和效率。通过清晰描述漏洞特征、合理使用占位符、控制提示词长度和不断迭代优化，我们可以打造出高效的CVE检测提示词，为安全测试工作提供有力支持。

希望本文介绍的方法能够帮助您更好地利用BurpGPT进行安全测试。如有任何问题或建议，欢迎在项目仓库中提出。

【免费下载链接】burpgpt A Burp Suite extension that integrates OpenAI's GPT to perform an additional passive scan for discovering highly bespoke vulnerabilities and enables running traffic-based analysis of any type. 项目地址: https://gitcode.com/gh_mirrors/bu/burpgpt