我的第一个 burp 扩展

用了一天半，从零开始，完成了这个 Burp 扩展程序，基于信安之路 POC 管理系统的数据，可实现一键完成目标历史漏洞的探测，看一下界面：

image-20250417135242620

到现在，我对于 Burp 扩展程序的编写方式都很陌生，但是如何在一天半的时间内完成了这个 burp 扩展的编写呢？

当然是借助了 AI 之力，百分之九十九的代码是 AI 完成，我所做的就是调试代码并修改 bug，然后根据使用习惯给 AI 提需求：

image-20250417135516206

从测试记录来看，一共用了 28 个小时，不断出现问题，然后将问题发送给 AI，由 AI 进行修复更新，最终实现我想要的功能、

该插件的具体功能与 python3 版的 xazlscan 一致，仅仅是使用方式不同而已，有了这个扩展之后，在对目标进行手工测试时，可以在测试结束之时，调用该工具完成历史漏洞的探测，因为目标需要从 burp 的历史记录中提取。

主要方式是通过右键功能菜单推送扫描，如图：

image-20250417140002365

扫描过程详细记录如下图：

image-20250417140505279

扫描结束之后，可以通过日志查看选项卡，选择需要查看的日志内容，比如只看最后扫描出的漏洞信息：

image-20250417140608399

目标选择框内的目标，可以使用 Refresh 按钮，一键同步，然后可以选择单个目标或者多个目标进行漏洞扫描：

image-20250417140055564

插件的配置也比较简单，只需要配置 POC 系统的注册邮箱、Token 和 nuclei 的绝对路径即可，也可以根据需求，配置指纹识别时所用到的线程数以及执行 nuclei 的线程数：

image-20250417140817809

我测试开发的环境使用的是 openjdk21 + burpsuite 2025.2.4 版本，如果想了解整个程序的执行流程，可以阅读 python3 源码：

https://github.com/myh0st/xazlscan

该扩展已公开分享：

https://gitee.com/xazlsec/xazlscan/blob/master/burpExt/XazlScan.jar