Burp Suite官方MCP Server：让AI Agent自动渗透测试

🔥 Burp Suite 官方 MCP Server：让 AI Agent 自动渗透测试

PortSwigger（Burp Suite 开发商）官方发布了MCP Server，让 AI Agent 可以通过Model Context Protocol (MCP) 直接控制 Burp Suite。

这意味着：AI Agent 可以自动进行渗透测试了。

🎯 什么是 Burp Suite MCP Server？

MCP (Model Context Protocol) 是 Anthropic 提出的协议，让 AI Agent 可以与外部工具交互。Burp Suite MCP Server 就是连接 Burp Suite 和 AI Agent 的桥梁。

工作流程：

AI Agent (Claude/GPT) → MCP 协议 → MCP Server → Burp Suite → 渗透测试

🔧 核心功能

🚀 安装步骤

前提条件

• Java：必须安装且在 PATH 中
• jar 命令：必须可执行
• Burp Suite：需要 Burp Suite 应用

安装步骤

# 1. 克隆仓库
git clone https://github.com/PortSwigger/mcp-server.git
cd mcp-server

# 2. 构建 JAR 文件
./gradlew embedProxyJar

# 3. 在 Burp Suite 中加载扩展
# Extensions → Add → Java → 选择 build/libs/burp-mcp-all.jar

# 4. 配置 MCP Server（在 Burp 的 MCP 标签页）
# 默认监听 http://127.0.0.1:9876

🔗 连接 Claude Desktop

Claude Desktop 目前只支持 Stdio MCP Servers，所以 Burp MCP Server 提供了代理服务器：

# Claude Desktop 配置文件
# ~/Library/Application Support/Claude/claude_desktop_config.json

{
  "mcpServers": {
    "burp": {
      "command": "java",
      "args": [
        "-jar",
        "/path/to/mcp-proxy-all.jar",
        "--sse-url",
        "http://127.0.0.1:9876"
      ]
    }
  }
}

工作原理：

• Claude Desktop 启动 Stdio Proxy Server
• Proxy Server 连接到 Burp 的 SSE MCP Server
• 所有请求通过 Proxy 转发到 Burp

🛠️ 使用 SSE Server 直接连接

如果你的 MCP Client 支持 SSE，可以直接连接：

# SSE 接口 URL
http://127.0.0.1:9876

# 或带 /sse 路径
http://127.0.0.1:9876/sse

🔧 扩展自定义工具

你可以定义新的 MCP 工具：

// 工具定义在 src/main/kotlin/net/portswigger/mcp/tools/Tools.kt

// 创建新的 serializable data class
@Serializable
data class MyCustomTool(
    val param1: String,
    val param2: Int
)

// 工具名称自动从参数类名派生
// 返回字符串或更丰富的 PromptMessageContents

还可以通过实现 Paginated 接口添加自动分页支持。

💡 应用场景

📝 总结

Burp Suite MCP Server 标志着渗透测试进入 AI Agent 时代：

• PortSwigger 官方发布，可靠性高
• 支持 MCP 协议，兼容 Claude Desktop
• 提供 SSE Server 和 Stdio Proxy
• 可扩展自定义工具
• AI Agent 可以自动进行渗透测试

渗透测试 + AI Agent，网络安全的新时代。

GitHub：https://github.com/PortSwigger/mcp-server

MCP 协议：https://modelcontextprotocol.io/