Burpsuite MCP サーバー

Burpsuite Professional のスキャンおよびプロキシ機能と対話するためのインターフェイスを提供するモデル コンテキスト プロトコル (MCP) サーバー。

概要

このMCPサーバーは、AIアシスタントがBurpsuite Professionalと連携してWebセキュリティテストや脆弱性スキャンを実施できるようにします。以下のツールを提供します。

• 対象URLの脆弱性スキャンを開始する

• スキャンステータスの確認と結果の取得

• Burp Proxy によってキャプチャされた HTTP/HTTPS トラフィックにアクセスする

• スキャン中に検出されたサイト構造の表示

特徴

ツール

サーバーは次のツールを公開します。

1. start_scan : 対象URLで新しい脆弱性スキャンを開始する

   • パラメータ:

     • target : スキャンする対象URL (例: https://example.com )

     • scan_type : 実行するスキャンの種類（パッシブ、アクティブ、またはフル）

2. get_scan_status : 実行中のスキャンのステータスを確認する

   • パラメータ:

     • scan_id : チェックするスキャンのID

3. get_scan_issues : スキャンで見つかった脆弱性の問題を取得する

   • パラメータ:

     • scan_id : スキャンのID

     • severity : 重大度（高、中、低、情報、またはすべて）で問題をフィルタリングします

4. get_proxy_history : Burp Proxy によってキャプチャされた HTTP/HTTPS トラフィックを取得する

   • パラメータ:

     • host : ホストでフィルタリング（オプション）

     • method : HTTPメソッドでフィルタリング（オプション）

     • status_code : HTTPステータスコードでフィルタリングする（オプション）

     • limit : 返されるアイテムの最大数（デフォルト: 10）

5. get_site_map : スキャンと閲覧中に検出されたサイト構造を取得します

   • パラメータ:

     • host : ホストでフィルタリング（オプション）

     • with_parameters : パラメータ付きの URL のみを表示する (オプション)

     • limit : 返されるアイテムの最大数（デフォルト: 20）

リソース

サーバーは次のリソースを提供します。

1. スキャン結果: burpsuite://scan/{scanId}

2. 問題の詳細: burpsuite://scan/{scanId}/issue/{issueId}

3. プロキシ履歴: burpsuite://proxy/history

4. プロキシ履歴項目: burpsuite://proxy/history/{itemId}

5. サイトマップ: burpsuite://sitemap

インストール

1. サーバーを構築します。

   cd /path/to/burpsuite-server npm install npm run build

2. MCP 設定構成ファイルにサーバーを追加します。

   { "mcpServers": { "burpsuite": { "command": "node", "args": ["/path/to/burpsuite-server/build/index.js"], "env": {}, "disabled": false, "autoApprove": [] } } }

将来の機能強化

このサーバーは現在、モック機能を提供しています。実際のBurpsuite Professionalインスタンスに接続するには、以下の手順を実行してください。

1. Burpsuite Professional を設定して REST API を公開する

2. Burpsuite REST APIに接続するためにサーバー実装を更新する

3. 安全なAPI通信のための認証メカニズムを追加する

使用例

Burpsuite MCP サーバーを AI アシスタントと共に使用する方法の例をいくつか示します。

スキャンの開始

プロキシ履歴の表示

脆弱性の分析