AI增强手动测试:Shadow Repeater如何自动发现Web漏洞

Shadow Repeater是PortSwigger研发的AI增强手动测试工具,通过监控Repeater请求、AI生成载荷变体及响应差异分析,自动发现XSS、路径遍历等漏洞,无需改变现有测试流程即可提升漏洞发现效率。

Shadow Repeater:AI增强手动测试 | PortSwigger研究

Gareth Heyes
研究员
@garethheyes

发布时间: 2025年2月20日 13:20 UTC
更新时间: 2025年2月25日 09:06 UTC

你是否曾因一个错误的选择而遗憾地错过了漏洞?我们刚刚发布了Shadow Repeater,它通过AI驱动的全自动变体测试增强你的手动测试。只需正常使用Burp Repeater,Shadow Repeater会在后台监控你的攻击、尝试排列组合,并通过Organizer报告任何发现。

Shadow Repeater通过分析你的载荷来辅助深度定向测试,当因发送错误语法、不正确编码、文件路径或简单拼写错误而险些错过漏洞时,它可以为你找到漏洞。它是完全自动化的,不需要改变你正常的手动测试工作流程。

Shadow Repeater如何工作

Shadow Repeater监控你的Repeater请求并识别你正在更改的参数。然后提取你放置在这些参数中的载荷,并将其发送到AI模型生成变体。最后,它使用这些载荷变体攻击目标,并通过响应差异分析识别是否任何变体触发了新的有趣代码路径。这种方法允许它基于手动测试员的专业知识来发现意外行为,例如非常规XSS向量、成功的路径遍历尝试,甚至新颖的漏洞如电子邮件分割攻击。

你可以在Github上获取Shadow Repeater的源代码,并在BApp商店中可用。

安装说明

在Burp Suite Professional中,转到Extensions->BApp商店并搜索Shadow Repeater。单击安装按钮,然后导航到已安装选项卡,选择Shadow Repeater,并在Extension选项卡中勾选“Use AI”复选框。

使用

默认情况下,Shadow Repeater在你发出的第5个Repeater请求时被调用,并且需要更改参数或标头。你只需通过某种方式更改请求来尝试黑客目标。在后台,Shadow Repeater将发送变体并寻找响应中的差异。当它发现有趣的内容时,会将其发送到Organizer进行检查。

Shadow Repeater的研发历程

在PortSwigger,我们有机会在Dragons Den风格的竞赛中提出我们的AI功能想法。我认为如果Burp可以分析Repeater请求并找到你正在测试的内容的变体,甚至未知漏洞,那会很酷。我失败了。我看不出它会如何工作。我转而专注于使用AI Hackvertor寻找未知编码。

利用我改进AI Hackvertor的经验,我对AI的工作方式、如何安全发送用户输入以及如何获得实际有用的响应更加熟悉。如果你认识我,你会知道我不能放任事情不管。我曾经在最初测试两年后重新利用AngularJS HTML过滤器。这个Dragons Den想法也不例外,我最近重新开始研究它。

我的第一个突破是思考差异,之前我将整个Repeater请求发送给AI进行分析并让它解析请求。解析整个请求当然是个坏主意。然而,我需要这个失败的实验来了解AI的能力。我考虑在Github风格的请求和响应差异中使用差异逻辑。我与James聊天,他建议使用参数中的差异。所以我用Java编写了一个Request Differ来分析标头、参数和URL路径,并仅将变化的值发送给AI。现在AI只分析少量数据,非常专注于你正在尝试黑客的内容。

我的第二个突破是不告诉AI理解正在测试的内容,而是简单地告诉它找到变体。这意味着给AI一般指令来找到变体,但不详细说明它实际测试的内容。这出乎意料地有效:由于Request Differ,它了解上下文,并知道你正在测试的数据。它为路径遍历、XSS和其他类型的漏洞生成了变体。

我成功生成了用户测试内容的变体,但如何知道变体是否相关?这就是响应差异分析发挥作用的地方。我借用了传奇人物Kettle先生,因为他在Backslash Powered Scanner差异逻辑方面做了大量工作。他给了我一些关于他的响应差异如何工作的代码示例,我将AI生成的每个变体以及用户请求和一些随机控制值添加到分析列表中。然后我寻找响应中当发送变体时改变的不变属性。这产生了一些很酷的结果!这种技术能够发现XSS向量中允许空格,路径遍历向量是否实际工作,甚至未知漏洞如电子邮件分割攻击。

这只是Burp Suite中AI驱动扩展现在可能实现的一个例子。自己试试看——Shadow Repeater现在可用于Burp Suite Professional早期采用者发布频道的用户,从BApp商店获取。

感到受启发?尝试使用Burp内置的Montoya API及其专用接口创建自己的AI驱动扩展,处理你的扩展与PortSwigger可信AI平台之间的流量。

AI安全与隐私

我们已更新文档以反映我们如何处理发送给AI的数据,请查看详细文档和博客文章。

相关标签: AI, web安全, Burp Suite

相关研究:

  • Repeater Strike: manual testing, amplified (2025年7月15日)
  • Document My Pentest: you hack, the AI writes it up! (2025年4月23日)
  • Using form hijacking to bypass CSP (2024年3月5日)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次