mcp-server

GitHub
687 111 较难 1 次阅读 昨天GPL-3.0插件
AI 解读 由 AI 自动生成,仅供参考

mcp-server 是一款专为网络安全领域设计的开源桥接工具,旨在将业界标准的渗透测试平台 Burp Suite 与大语言模型(AI)客户端无缝连接。它基于模型上下文协议(MCP),解决了传统安全测试中人工分析流量效率低、难以利用 AI 辅助决策的痛点,让 AI 能够直接读取 Burp 捕获的数据并执行相关操作。

这款工具特别适合网络安全研究人员、渗透测试工程师以及希望探索"AI+ 安全”工作流的开发者使用。通过 mcp-server,用户可以在 Claude Desktop 等 AI 客户端中直接调用 Burp 的功能,实现智能化的漏洞挖掘与流量分析。

其技术亮点在于内置了标准的 Stdio MCP 代理服务器,巧妙规避了桌面应用间通信的障碍。它不仅支持自动安装配置以适配 Claude Desktop,还允许用户在 Burp 界面中灵活调整服务端口及权限(如是否允许修改配置)。只需简单的构建与加载步骤,即可在本地搭建起一个安全、高效的自动化测试闭环,显著提升安全审计的智能化水平。

使用场景

安全工程师小李正在对某电商系统进行深度渗透测试,他需要结合 Burp Suite 的流量数据与 AI 大模型的分析能力来快速定位漏洞。

没有 mcp-server 时

  • 数据割裂严重:必须手动将 Burp 中的 HTTP 请求/响应复制粘贴到 AI 对话框,操作繁琐且容易遗漏关键头部信息。
  • 上下文丢失:每次提问都需要重新描述业务逻辑或重放攻击步骤,AI 无法直接读取当前扫描项目的实时状态。
  • 反馈闭环断裂:即使 AI 给出了修改建议或新的 Payload,也无法直接回写到 Burp 配置或发起新的自动化测试,需人工二次操作。
  • 效率低下:在“抓包 - 复制 - 提问 - 复制 - 重放”的循环中浪费大量时间,难以应对大规模接口的快速迭代测试。

使用 mcp-server 后

  • 无缝数据打通:mcp-server 让 Claude Desktop 直接连接 Burp Suite,AI 能实时读取选中的流量数据包,无需任何手动复制。
  • 智能上下文感知:AI 自动获取当前扫描任务的目标范围和配置信息,能基于真实的项目状态提供针对性的漏洞分析建议。
  • 自动化执行闭环:用户可直接指令 AI 修改 Burp 配置或生成特定 Payload 并自动发起重放测试,实现“分析即执行”。
  • 工作流大幅提速:消除了中间的人工搬运环节,将单点漏洞的分析验证时间从分钟级缩短至秒级,显著提升测试覆盖率。

mcp-server 通过标准协议打破了传统安全工具与 AI 之间的壁垒,将被动的人工辅助升级为主动的智能协同作战。

运行环境要求

操作系统
  • 未说明
GPU

未说明

内存

未说明

依赖
notes该工具是 Burp Suite 的 Java 扩展,非 Python 项目。核心依赖为已安装的 Java 环境和 jar 命令。构建需使用 Gradle。运行时需要启动 Burp Suite,并通过 MCP 协议与 AI 客户端(如 Claude Desktop)交互。默认监听端口为 9876。若客户端仅支持 Stdio,需使用内置的代理服务器连接 Burp 的 SSE 服务。
python不需要
Java (需在系统 PATH 中)
jar 命令 (需在系统 PATH 中)
Gradle (用于构建)
Burp Suite
mcp-server hero image

快速开始

Burp Suite MCP 服务器扩展

概述

使用模型上下文协议 (MCP) 将 Burp Suite 与 AI 客户端集成。

有关该协议的更多信息,请访问:modelcontextprotocol.io

功能

  • 通过 MCP 将 Burp Suite 连接到 AI 客户端
  • 自动安装 Claude Desktop
  • 附带打包的 Stdio MCP 代理服务器

使用方法

  • 在 Burp Suite 中安装扩展
  • 在扩展设置中配置您的 Burp MCP 服务器
  • 配置您的 MCP 客户端以使用 Burp SSE MCP 服务器或 stdio 代理
  • 通过您的客户端与 Burp 交互!

安装

先决条件

在构建和安装扩展之前,请确保满足以下先决条件:

  1. Java:系统必须已安装 Java,并且 java 命令应在系统的 PATH 环境变量中可用。您可以通过在终端中运行 java --version 来验证。
  2. jar 命令jar 命令必须可执行,并且应在系统的 PATH 环境变量中可用。您可以通过在终端中运行 jar --version 来验证。这是构建和安装扩展所必需的。

构建扩展

  1. 克隆仓库:获取 MCP 服务器扩展的源代码。

    git clone https://github.com/PortSwigger/mcp-server.git

  2. 进入项目目录:切换到项目的根目录。

    cd mcp-server

  3. 构建 JAR 文件:使用 Gradle 构建扩展。

    ./gradlew embedProxyJar

    该命令将编译源代码并将其打包成一个位于 build/libs/burp-mcp-all.jar 的 JAR 文件。

将扩展加载到 Burp Suite 中

  1. 打开 Burp Suite:启动您的 Burp Suite 应用程序。
  2. 访问“扩展”选项卡:导航到“Extensions”选项卡。
  3. 添加扩展
    • 单击“Add”。
    • 将“Extension Type”设置为“Java”。
    • 单击“Select file ...”,选择上一步构建的 JAR 文件。
    • 单击“Next”以加载扩展。

成功加载后,MCP 服务器扩展将在 Burp Suite 中激活。

配置

配置扩展

扩展的配置通过 Burp Suite 的 UI 中的“MCP”选项卡进行。

  • 切换 MCP 服务器:勾选“Enabled”复选框可控制 MCP 服务器是否处于活动状态。
  • 启用配置编辑:勾选“Enable tools that can edit your config”复选框允许 MCP 服务器暴露可以编辑 Burp 配置文件的工具。
  • 高级选项:您可以配置 MCP 服务器的端口和主机。默认情况下,它监听 http://127.0.0.1:9876

Claude Desktop 客户端

要充分利用 MCP 服务器扩展与 Claude 的集成,您需要正确配置 Claude 客户端设置。

该扩展提供了一个安装程序,可自动为您配置客户端设置。

  1. 目前,Claude Desktop 仅支持 STDIO MCP 服务器来提供所需的服务。这种方法对于像 Burp 这样的桌面应用程序并不理想,因此 Claude 将启动一个指向 Burp 实例的代理服务器,该实例在已知端口(localhost:9876)上托管一个 Web 服务器。

  2. 配置 Claude 使用 Burp MCP 服务器 您可以通过两种方式完成此操作:

    • 选项 1:从扩展运行安装程序 这将把 Burp MCP 服务器添加到 Claude Desktop 的配置中。

    • 选项 2:手动编辑配置文件 打开位于 ~/Library/Application Support/Claude/claude_desktop_config.json 的文件,并将其替换或更新为以下内容:

      {
  "mcpServers": {
    "burp": {
      "command": "<Burp 打包的 Java 可执行文件路径>",
      "args": [
          "-jar",
          "/path/to/mcp/proxy/jar/mcp-proxy-all.jar",
          "--sse-url",
          "<您在扩展中配置的 Burp MCP 服务器 URL>"
      ]
    }
  }
}

  3. 重启 Claude Desktop——前提是 Burp 已运行并加载了扩展。

手动安装

如果您想手动安装 MCP 服务器,可以直接使用扩展的 SSE 服务器,或者使用打包的 Stdio 代理服务器。

SSE MCP 服务器

要直接使用 SSE 服务器,只需在您的客户端配置中提供服务器的 URL 即可。根据您的客户端以及在扩展中的配置,这可能包含或不包含 /sse 路径。

http://127.0.0.1:9876


http://127.0.0.1:9876/sse

Stdio MCP 代理服务器

代理服务器的源代码可在以下链接找到:MCP 代理服务器

为了支持仅支持 Stdio MCP 服务器的客户端,该扩展附带了一个代理服务器,用于将请求转发到 SSE MCP 服务器扩展。

如果您想使用 Stdio 代理服务器,可以使用扩展的安装选项提取代理服务器的 JAR 文件。获得 JAR 文件后,您可以将以下命令和参数添加到您的客户端配置中:

/path/to/packaged/burp/java -jar /path/to/proxy/jar/mcp-proxy-all.jar --sse-url http://127.0.0.1:9876

创建/修改工具

工具定义在 src/main/kotlin/net/portswigger/mcp/tools/Tools.kt 文件中。要定义新工具,创建一个新的可序列化数据类,其中包含来自 LLM 的必要参数。

工具名称会自动从其参数数据类中派生。还需要为 LLM 提供描述。您可以返回字符串(或更丰富的 PromptMessageContents)以向 LLM 提供数据。

通过实现 Paginated 接口,可以添加自动分页支持。

常见问题

相似工具推荐

opencode

OpenCode 是一款开源的 AI 编程助手(Coding Agent),旨在像一位智能搭档一样融入您的开发流程。它不仅仅是一个代码补全插件,而是一个能够理解项目上下文、自主规划任务并执行复杂编码操作的智能体。无论是生成全新功能、重构现有代码,还是排查难以定位的 Bug,OpenCode 都能通过自然语言交互高效完成,显著减少开发者在重复性劳动和上下文切换上的时间消耗。 这款工具专为软件开发者、工程师及技术研究人员设计,特别适合希望利用大模型能力来提升编码效率、加速原型开发或处理遗留代码维护的专业人群。其核心亮点在于完全开源的架构,这意味着用户可以审查代码逻辑、自定义行为策略,甚至私有化部署以保障数据安全,彻底打破了传统闭源 AI 助手的“黑盒”限制。 在技术体验上,OpenCode 提供了灵活的终端界面(Terminal UI)和正在测试中的桌面应用程序,支持 macOS、Windows 及 Linux 全平台。它兼容多种包管理工具,安装便捷,并能无缝集成到现有的开发环境中。无论您是追求极致控制权的资深极客,还是渴望提升产出的独立开发者,OpenCode 都提供了一个透明、可信

144.3k|★☆☆☆☆|2天前
Agent插件

gemini-cli

gemini-cli 是一款由谷歌推出的开源 AI 命令行工具,它将强大的 Gemini 大模型能力直接集成到用户的终端环境中。对于习惯在命令行工作的开发者而言,它提供了一条从输入提示词到获取模型响应的最短路径,无需切换窗口即可享受智能辅助。 这款工具主要解决了开发过程中频繁上下文切换的痛点,让用户能在熟悉的终端界面内直接完成代码理解、生成、调试以及自动化运维任务。无论是查询大型代码库、根据草图生成应用,还是执行复杂的 Git 操作,gemini-cli 都能通过自然语言指令高效处理。 它特别适合广大软件工程师、DevOps 人员及技术研究人员使用。其核心亮点包括支持高达 100 万 token 的超长上下文窗口,具备出色的逻辑推理能力;内置 Google 搜索、文件操作及 Shell 命令执行等实用工具;更独特的是,它支持 MCP(模型上下文协议),允许用户灵活扩展自定义集成,连接如图像生成等外部能力。此外,个人谷歌账号即可享受免费的额度支持,且项目基于 Apache 2.0 协议完全开源,是提升终端工作效率的理想助手。

100.8k|★★☆☆☆|1周前
插件Agent图像

markitdown

MarkItDown 是一款由微软 AutoGen 团队打造的轻量级 Python 工具,专为将各类文件高效转换为 Markdown 格式而设计。它支持 PDF、Word、Excel、PPT、图片(含 OCR)、音频(含语音转录)、HTML 乃至 YouTube 链接等多种格式的解析,能够精准提取文档中的标题、列表、表格和链接等关键结构信息。 在人工智能应用日益普及的今天,大语言模型(LLM)虽擅长处理文本,却难以直接读取复杂的二进制办公文档。MarkItDown 恰好解决了这一痛点,它将非结构化或半结构化的文件转化为模型“原生理解”且 Token 效率极高的 Markdown 格式,成为连接本地文件与 AI 分析 pipeline 的理想桥梁。此外,它还提供了 MCP(模型上下文协议)服务器,可无缝集成到 Claude Desktop 等 LLM 应用中。 这款工具特别适合开发者、数据科学家及 AI 研究人员使用,尤其是那些需要构建文档检索增强生成(RAG)系统、进行批量文本分析或希望让 AI 助手直接“阅读”本地文件的用户。虽然生成的内容也具备一定可读性,但其核心优势在于为机器

93.4k|★★☆☆☆|1周前
插件开发框架

ML-For-Beginners

ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程,旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周,包含 26 节精炼课程和 52 道配套测验,内容涵盖从基础概念到实际应用的完整流程,有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。 无论是希望转型的开发者、需要补充算法背景的研究人员,还是对人工智能充满好奇的普通爱好者,都能从中受益。课程不仅提供了清晰的理论讲解,还强调动手实践,让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持,通过自动化机制提供了包括简体中文在内的 50 多种语言版本,极大地降低了全球不同背景用户的学习门槛。此外,项目采用开源协作模式,社区活跃且内容持续更新,确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路,ML-For-Beginners 将是理想的起点。

85.3k|★★☆☆☆|今天
图像数据工具视频

gstack

gstack 是 Y Combinator CEO Garry Tan 亲自开源的一套 AI 工程化配置,旨在将 Claude Code 升级为你的虚拟工程团队。面对单人开发难以兼顾产品战略、架构设计、代码审查及质量测试的挑战,gstack 提供了一套标准化解决方案,帮助开发者实现堪比二十人团队的高效产出。 这套配置特别适合希望提升交付效率的创始人、技术负责人,以及初次尝试 Claude Code 的开发者。gstack 的核心亮点在于内置了 15 个具有明确职责的 AI 角色工具,涵盖 CEO、设计师、工程经理、QA 等职能。用户只需通过简单的斜杠命令(如 `/review` 进行代码审查、`/qa` 执行测试、`/plan-ceo-review` 规划功能),即可自动化处理从需求分析到部署上线的全链路任务。 所有操作基于 Markdown 和斜杠命令,无需复杂配置,完全免费且遵循 MIT 协议。gstack 不仅是一套工具集,更是一种现代化的软件工厂实践,让单人开发者也能拥有严谨的工程流程。

76.3k|★★☆☆☆|今天
Agent插件

codex

Codex 是 OpenAI 推出的一款轻量级编程智能体,专为在终端环境中高效运行而设计。它允许开发者直接在命令行界面与 AI 交互,完成代码生成、调试、重构及项目维护等任务,无需频繁切换至浏览器或集成开发环境,从而显著提升了编码流程的连贯性与专注度。 这款工具主要解决了传统 AI 辅助编程中上下文割裂的问题。通过将智能体本地化运行,Codex 能够更紧密地结合当前工作目录的文件结构,提供更具针对性的代码建议,同时支持以自然语言指令驱动复杂的开发操作,让“对话即编码”成为现实。 Codex 非常适合习惯使用命令行的软件工程师、全栈开发者以及技术研究人员。对于追求极致效率、偏好键盘操作胜过图形界面的极客用户而言,它更是理想的结对编程伙伴。 其独特亮点在于灵活的部署方式:既可作为全局命令行工具通过 npm 或 Homebrew 一键安装,也能无缝对接现有的 ChatGPT 订阅计划(如 Plus 或 Pro),直接复用账户权益。此外,它还提供了从纯文本终端到桌面应用的多形态体验,并支持基于 API 密钥的深度定制,充分满足不同场景下的开发需求。

75.2k|★☆☆☆☆|4天前
语言模型Agent插件