你是否曾经希望AI能够直接控制BurpSuite,自动拦截和修改HTTP流量、执行安全扫描、分析漏洞?今天要介绍的开源项目BurpSuite MCP服务器,正是为了实现这个目标而设计的。它提供了对BurpSuite核心功能的编程访问,让AI能够自动化安全测试流程。
项目基本信息
| 信息项 | 详情 |
|---|---|
| 项目名称 | BurpSuite MCP 服务器 |
| GitHub地址 | https://github.com/X3r0K/BurpSuite-MCP-Server |
| 项目描述 | BurpSuite MCP服务器:BurpSuite的强大模型上下文协议(MCP)服务器实现,提供对Burp核心功能的编程访问。 |
| 作者 | X3r0K |
| 开源协议 | MIT License |
| 开源状态 | 公开状态 |
| Languages | Python |
| 支持平台 | Windows / macOS / Linux |
| 最后更新 | 2026-04-23 |
一、项目介绍
BurpSuite MCP服务器是一个让AI能够通过编程方式控制BurpSuite的MCP工具。它提供了代理工具、扫描工具、日志工具和漏洞检测功能,覆盖了BurpSuite的核心安全测试能力。
这个服务器提供了以下功能模块:
- 代理工具:拦截和修改HTTP/HTTPS流量,查看和操作请求/响应,访问代理历史
- 扫描工具:主动和被动扫描,自定义扫描配置,实时问题跟踪
- 日志工具:HTTP流量日志记录,高级过滤和搜索,漏洞检测
- 漏洞检测:自动检测XSS、SQL注入、路径遍历、SSRF、XXE等多种漏洞
二、核心优势
功能全面
覆盖BurpSuite核心功能:
- 流量拦截和修改
- 主动/被动扫描
- 漏洞自动检测
- 日志分析和过滤
多种漏洞检测
自动检测多种安全漏洞:
- XSS(跨站脚本攻击)
- SQL注入
- 路径遍历
- 文件包含
- SSRF(服务器端请求伪造)
- XXE(XML外部实体)
- CSRF(跨站请求伪造)
- 开放重定向
- 命令注入
分析功能
提供全面的分析能力:
- 流量分析(请求数、方法分布、状态码分布)
- 漏洞分析(类型摘要、最脆弱端点)
- 可疑模式检测
- 实时漏洞检测
Cursor集成
提供完整的Cursor IDE配置文件:
- MCP服务器配置
- 任务定义
- 调试配置
三、适用场景
自动化安全测试
让AI自动执行安全扫描,检测Web应用漏洞。
流量分析
AI可以分析HTTP流量,识别可疑模式和安全风险。
漏洞管理
AI可以跟踪漏洞状态,生成安全报告。
DevSecOps集成
将安全测试集成到CI/CD流程中,实现自动化安全检测。
四、安装教程
系统要求
| 工具 | 用途 | 下载/安装方式 |
|---|---|---|
| Python | 运行环境 | [https://python.org/] (版本要求:3.8 或以上) |
| BurpSuite | 安全测试工具 | [https://portswigger.net/burp] |
| MCP客户端 | 如Cursor等 | 根据客户端官网下载 |
安装步骤
第一步:克隆项目并安装依赖
git clone https://github.com/X3r0K/BurpSuite-MCP-Server.git
cd BurpSuite-MCP-Server
pip install -r requirements.txt第二步:配置环境变量
复制.env.example为.env,并配置:
BURP_API_KEY=Your_API_KEY
BURP_API_HOST=localhost
BURP_API_PORT=1337
BURP_PROXY_HOST=127.0.0.1
BURP_PROXY_PORT=8080
MCP_SERVER_HOST=0.0.0.0
MCP_SERVER_PORT=8000第三步:启动服务器
python main.py服务器将启动在http://localhost:8000。
第四步:配置Cursor
项目已包含.cursor目录,包含所有必要的配置文件,会自动加载。
五、使用示例
示例1:拦截请求
curl -X POST "http://localhost:8000/proxy/intercept" \
-H "Content-Type: application/json" \
-d '{
"url": "https://example.com",
"method": "GET",
"headers": {"User-Agent": "Custom"},
"intercept": true
}'示例2:启动扫描
curl -X POST "http://localhost:8000/scanner/start" \
-H "Content-Type: application/json" \
-d '{
"target_url": "https://example.com",
"scan_type": "active",
"scan_configurations": {
"scope": "strict",
"audit_checks": ["xss", "sqli"]
}
}'示例3:获取日志
# 获取过滤后的日志
curl "http://localhost:8000/logger/logs?filter[method]=POST&filter[status_code]=200"
# 搜索日志
curl "http://localhost:8000/logger/logs?search=password"
# 获取漏洞分析
curl "http://localhost:8000/logger/vulnerabilities"
# 获取全面分析
curl "http://localhost:8000/logger/analysis"示例4:查看代理历史
curl "http://localhost:8000/proxy/history"示例5:检查扫描状态
# 获取状态
curl "http://localhost:8000/scanner/status/scan_1"
# 停止扫描
curl -X DELETE "http://localhost:8000/scanner/stop/scan_1"示例6:清除日志
curl -X DELETE "http://localhost:8000/logger/clear"六、API文档
启动服务器后,可以访问:
- Swagger UI:
http://localhost:8000/docs - ReDoc:
http://localhost:8000/redoc
七、常见问题
问题1:BurpSuite API密钥无效
解决方案:确保BurpSuite API已启用,检查.env中的配置。
问题2:代理连接失败
解决方案:确认BurpSuite代理正在运行,默认端口8080。
问题3:扫描任务卡住
解决方案:检查目标URL是否可访问,确认扫描配置正确。
问题4:日志过多
解决方案:使用过滤参数限制结果数量。
问题5:Cursor集成不工作
解决方案:检查.cursor目录配置是否正确。
八、总结
BurpSuite MCP服务器是一个强大的安全测试MCP工具,让AI能够通过编程方式控制BurpSuite,实现自动化安全测试。
这个项目的最大价值在于:
- 功能全面:覆盖代理、扫描、日志、漏洞检测
- 多种漏洞检测:自动检测XSS、SQL注入等常见漏洞
- 分析功能:流量分析、漏洞分析、模式检测
- Cursor集成:开箱即用的IDE配置
- MIT许可证:可自由使用和修改
如果你是安全测试工程师,并且希望用AI来自动化BurpSuite操作,BurpSuite MCP服务器是一个非常强大的工具。
环境变量要正确配置。
代理端口默认8080。
扫描配置可以自定义检测项。
分析功能包括流量和漏洞分析。
支持实时漏洞检测。