1. 从静态修改到动态引擎的进化之路如果你已经跟着基础篇完成了第一个BurpSuite插件现在应该能轻松实现给所有请求添加固定请求头的功能。但真实的安全测试场景远比这复杂——昨天需要批量添加鉴权Token今天要动态替换API路径参数明天又得根据响应内容自动调整下一次请求的payload。每次都改代码重新打包太不优雅了。我在某次金融系统渗透测试中就吃过亏面对200多个需要动态注入时间戳的API端点硬是手动写了30多条匹配规则。直到凌晨三点咖啡喝光时才顿悟——该做个规则引擎了。这就是我们今天要构建的动态请求重写工具的核心价值用配置代替编码用规则匹配解放生产力。动态引擎与基础篇的固定修改有三大本质区别可配置性所有修改规则通过外部文件定义无需重新编译条件触发可根据URL、请求方法、参数等特征精准匹配链式处理支持多条规则按优先级形成处理流水线举个例子当测试OAuth2.0接口时你可能需要对/auth/token路径的POST请求添加Basic Auth头在/api/*路径的请求头中注入动态获取的Bearer Token把所有包含userId参数的请求中的ID值替换为测试账号接下来我们就用Montoya API实现这个会思考的请求重写引擎。2. 动态规则引擎架构设计2.1 核心组件拆解先看整体架构图伪代码表示class DynamicEngine { RuleLoader loader // 规则加载器 RuleMatcher matcher // 条件匹配器 RequestRewriter rewriter // 请求修改器 Logger logger // 增强型日志 } interface Rule { String matchCondition // 匹配条件 String actionType // 修改类型 MapString,String params // 动作参数 }规则加载器的设计要点在于支持热更新。我推荐用JSON作为规则文件格式配合WatchService监控文件变化Path rulesDir Paths.get(System.getProperty(user.home), .burp_rules); WatchService watcher FileSystems.getDefault().newWatchService(); rulesDir.register(watcher, ENTRY_MODIFY);规则匹配器需要实现多级过滤首先过滤HTTP方法GET/POST等然后匹配URL正则表达式最后检查特定头或参数是否存在这里有个性能优化点预编译所有正则表达式并缓存private static final MapString, Pattern patternCache new ConcurrentHashMap(); Pattern compilePattern(String regex) { return patternCache.computeIfAbsent(regex, Pattern::compile); }2.2 规则文件实战示例来看一个完整的规则配置案例{ version: 1.0, rules: [ { name: inject-auth-token, match: { path: ^/api/.*, methods: [GET, POST] }, action: { type: ADD_HEADER, params: { name: Authorization, value: Bearer ${token} } } }, { name: replace-test-user, match: { param: userId }, action: { type: REPLACE_PARAM, params: { old: .*, new: test_user_001 } } } ] }实际开发中我建议增加enabled和priority字段方便临时禁用规则和调整执行顺序。遇到过规则冲突的坑吗比如同时修改同一个请求头这时优先级设置就能救命。3. 实现请求处理流水线3.1 多规则链式处理在HttpHandler的实现中我们需要把单次修改升级为规则链处理Override public RequestToBeSentAction handleHttpRequestToBeSent(HttpRequestToBeSent request) { ListRule matchedRules ruleMatcher.match(request); HttpRequest currentRequest request; for (Rule rule : matchedRules) { try { currentRequest rewriter.applyRule(currentRequest, rule); log(Applied rule: rule.name()); } catch (Exception e) { logError(Rule failed: rule.name(), e); } } return RequestToBeSentAction.continueWith(currentRequest); }注意几个关键点保持请求对象不可变性每次修改生成新实例记录每条规则的应用结果单条规则失败不应中断整个处理链3.2 支持变量注入真正的动态性体现在支持运行时变量。比如需要注入当前时间戳String resolveValue(String template) { if (template.contains(${timestamp})) { return template.replace(${timestamp}, String.valueOf(System.currentTimeMillis())); } // 其他变量处理... }高级用法可以集成Burp的Session功能String sessionValue montoyaApi.session().get(csrf_token);4. 调试与性能优化4.1 可视化调试输出建议在插件界面添加规则匹配可视化面板。以下代码片段可以显示规则命中情况montoyaApi.userInterface().registerSuiteTab( Rule Debugger, () - new JScrollPane(debugTable) ); // 更新表格数据 SwingUtilities.invokeLater(() - { model.addRow(new Object[]{ rule.name(), request.url(), new Date() }); });4.2 避免性能陷阱在大流量场景下我总结了几条黄金准则正则预编译如2.1节所示缓存Pattern对象短路匹配优先检查代价低的条件如方法过滤异步日志使用单独线程处理日志写入内存回收及时清理已卸载规则的缓存特别要注意Burp的UI线程限制——所有界面更新必须通过SwingUtilities.invokeLater执行否则会导致界面冻结。5. 企业级功能扩展5.1 远程规则管理对于团队协作场景可以实现规则中心化存储。添加HTTP规则拉取功能HttpResponse response montoyaApi.http().sendRequest( HttpRequest.httpRequest(https://rules.internal.com/latest) ); if (response.statusCode() 200) { RuleLoader.loadFromString(response.bodyToString()); }安全起见记得实现签名验证boolean verifySignature(byte[] data, String signature) { return montoyaApi.crypto().verifyRsaSha256( publicKey, data, signature.getBytes() ); }5.2 与Scanner模块联动进阶玩法是将动态引擎与主动扫描结合。比如根据响应自动生成规则montoyaApi.scanner().registerScanCheck( new CustomScanCheck(montoyaApi) ); // 在回调中创建新规则 void onVulnerabilityFound(ScanIssue issue) { Rule newRule createMitigationRule(issue); ruleMatcher.addRule(newRule); }这种模式在0day漏洞应急响应中特别有用可以快速创建临时防护规则。
【BurpSuite 插件开发实战】进阶篇1:构建动态请求重写引擎
1. 从静态修改到动态引擎的进化之路如果你已经跟着基础篇完成了第一个BurpSuite插件现在应该能轻松实现给所有请求添加固定请求头的功能。但真实的安全测试场景远比这复杂——昨天需要批量添加鉴权Token今天要动态替换API路径参数明天又得根据响应内容自动调整下一次请求的payload。每次都改代码重新打包太不优雅了。我在某次金融系统渗透测试中就吃过亏面对200多个需要动态注入时间戳的API端点硬是手动写了30多条匹配规则。直到凌晨三点咖啡喝光时才顿悟——该做个规则引擎了。这就是我们今天要构建的动态请求重写工具的核心价值用配置代替编码用规则匹配解放生产力。动态引擎与基础篇的固定修改有三大本质区别可配置性所有修改规则通过外部文件定义无需重新编译条件触发可根据URL、请求方法、参数等特征精准匹配链式处理支持多条规则按优先级形成处理流水线举个例子当测试OAuth2.0接口时你可能需要对/auth/token路径的POST请求添加Basic Auth头在/api/*路径的请求头中注入动态获取的Bearer Token把所有包含userId参数的请求中的ID值替换为测试账号接下来我们就用Montoya API实现这个会思考的请求重写引擎。2. 动态规则引擎架构设计2.1 核心组件拆解先看整体架构图伪代码表示class DynamicEngine { RuleLoader loader // 规则加载器 RuleMatcher matcher // 条件匹配器 RequestRewriter rewriter // 请求修改器 Logger logger // 增强型日志 } interface Rule { String matchCondition // 匹配条件 String actionType // 修改类型 MapString,String params // 动作参数 }规则加载器的设计要点在于支持热更新。我推荐用JSON作为规则文件格式配合WatchService监控文件变化Path rulesDir Paths.get(System.getProperty(user.home), .burp_rules); WatchService watcher FileSystems.getDefault().newWatchService(); rulesDir.register(watcher, ENTRY_MODIFY);规则匹配器需要实现多级过滤首先过滤HTTP方法GET/POST等然后匹配URL正则表达式最后检查特定头或参数是否存在这里有个性能优化点预编译所有正则表达式并缓存private static final MapString, Pattern patternCache new ConcurrentHashMap(); Pattern compilePattern(String regex) { return patternCache.computeIfAbsent(regex, Pattern::compile); }2.2 规则文件实战示例来看一个完整的规则配置案例{ version: 1.0, rules: [ { name: inject-auth-token, match: { path: ^/api/.*, methods: [GET, POST] }, action: { type: ADD_HEADER, params: { name: Authorization, value: Bearer ${token} } } }, { name: replace-test-user, match: { param: userId }, action: { type: REPLACE_PARAM, params: { old: .*, new: test_user_001 } } } ] }实际开发中我建议增加enabled和priority字段方便临时禁用规则和调整执行顺序。遇到过规则冲突的坑吗比如同时修改同一个请求头这时优先级设置就能救命。3. 实现请求处理流水线3.1 多规则链式处理在HttpHandler的实现中我们需要把单次修改升级为规则链处理Override public RequestToBeSentAction handleHttpRequestToBeSent(HttpRequestToBeSent request) { ListRule matchedRules ruleMatcher.match(request); HttpRequest currentRequest request; for (Rule rule : matchedRules) { try { currentRequest rewriter.applyRule(currentRequest, rule); log(Applied rule: rule.name()); } catch (Exception e) { logError(Rule failed: rule.name(), e); } } return RequestToBeSentAction.continueWith(currentRequest); }注意几个关键点保持请求对象不可变性每次修改生成新实例记录每条规则的应用结果单条规则失败不应中断整个处理链3.2 支持变量注入真正的动态性体现在支持运行时变量。比如需要注入当前时间戳String resolveValue(String template) { if (template.contains(${timestamp})) { return template.replace(${timestamp}, String.valueOf(System.currentTimeMillis())); } // 其他变量处理... }高级用法可以集成Burp的Session功能String sessionValue montoyaApi.session().get(csrf_token);4. 调试与性能优化4.1 可视化调试输出建议在插件界面添加规则匹配可视化面板。以下代码片段可以显示规则命中情况montoyaApi.userInterface().registerSuiteTab( Rule Debugger, () - new JScrollPane(debugTable) ); // 更新表格数据 SwingUtilities.invokeLater(() - { model.addRow(new Object[]{ rule.name(), request.url(), new Date() }); });4.2 避免性能陷阱在大流量场景下我总结了几条黄金准则正则预编译如2.1节所示缓存Pattern对象短路匹配优先检查代价低的条件如方法过滤异步日志使用单独线程处理日志写入内存回收及时清理已卸载规则的缓存特别要注意Burp的UI线程限制——所有界面更新必须通过SwingUtilities.invokeLater执行否则会导致界面冻结。5. 企业级功能扩展5.1 远程规则管理对于团队协作场景可以实现规则中心化存储。添加HTTP规则拉取功能HttpResponse response montoyaApi.http().sendRequest( HttpRequest.httpRequest(https://rules.internal.com/latest) ); if (response.statusCode() 200) { RuleLoader.loadFromString(response.bodyToString()); }安全起见记得实现签名验证boolean verifySignature(byte[] data, String signature) { return montoyaApi.crypto().verifyRsaSha256( publicKey, data, signature.getBytes() ); }5.2 与Scanner模块联动进阶玩法是将动态引擎与主动扫描结合。比如根据响应自动生成规则montoyaApi.scanner().registerScanCheck( new CustomScanCheck(montoyaApi) ); // 在回调中创建新规则 void onVulnerabilityFound(ScanIssue issue) { Rule newRule createMitigationRule(issue); ruleMatcher.addRule(newRule); }这种模式在0day漏洞应急响应中特别有用可以快速创建临时防护规则。
