name: Burp Suite/Web Security Skill description: 集成Burp Suite的Web应用安全测试技能 allowed-tools:
- Bash
- Read
- Write
- Edit
- Glob
- Grep
- WebFetch
Burp Suite/Web安全测试技能
概述
本技能提供集成Burp Suite和OWASP ZAP的Web应用安全测试能力。
核心能力
- 配置Burp Suite代理和扫描器
- 执行Burp扩展和宏
- 解析和分析HTTP流量
- 生成和发送定制请求
- 提取和分析响应
- 支持身份验证处理
- 创建和运行主动扫描策略
- 生成Web漏洞报告
目标流程
- web-app-vuln-research.js
- api-security-research.js
- bug-bounty-workflow.js
- red-team-operations.js
依赖项
- Burp Suite(专业版支持完整功能)
- OWASP ZAP(替代方案)
- Burp REST API
- Python requests库
- mitmproxy(可选)
使用场景
本技能适用于:
- Web应用渗透测试
- API安全评估
- 漏洞赏金狩猎
- 身份验证测试
- 会话管理分析
集成说明
- 支持通过REST API无头操作
- 可重放和修改捕获的请求
- 与CI/CD集成实现自动化扫描
- 针对特定测试的定制扫描策略
- 支持多种格式的报告生成