burpsuite-project-parser

par trailofbits

burpsuite-project-parser recherche et extrait des données depuis des fichiers projet Burp Suite (.burp) à l’aide de Burp Suite Professional et de l’extension burpsuite-project-file-parser. Utilisez-le pour exploiter des résultats d’audit de sécurité, l’historique du proxy, les entrées du site map et effectuer des recherches par expressions régulières sur le trafic HTTP capturé.

Étoiles5k

Favoris0

Commentaires0

Ajouté4 mai 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add trailofbits/skills --skill burpsuite-project-parser

Score éditorial

Cette skill obtient 72/100, ce qui la rend acceptable à référencer et utile pour les personnes qui travaillent déjà avec des projets Burp Suite. Le dépôt fournit un véritable wrapper en ligne de commande, des cas d’usage concrets et les prérequis de configuration, ce qui aide les utilisateurs du répertoire à évaluer l’adéquation avant installation, même s’ils doivent s’attendre à une certaine mise en place des dépendances et à une configuration spécifique à la plateforme.

72/100

Points forts

Workflow concret pour rechercher et extraire des données de fichiers projet .burp via un script wrapper
Cas d’usage clairs : historique du proxy, site map, résultats d’audit et recherches regex sur les en-têtes et les corps
Bon signal de déclenchement avec des prérequis explicites, une syntaxe d’utilisation et des variables d’environnement selon la plateforme

Points de vigilance

Nécessite Burp Suite Professional ainsi que l’extension burpsuite-project-file-parser ; ce n’est donc pas autonome
La skill délègue l’analyse à Burp et à l’extension, ce qui ajoute de la configuration et un risque de compatibilité

Burp Security Audit Cli Bash Linux

Vue d’ensemble

Vue d’ensemble du skill burpsuite-project-parser

Ce que fait burpsuite-project-parser

burpsuite-project-parser est un skill en ligne de commande pour rechercher et extraire des données à partir de fichiers de projet Burp Suite (.burp), via Burp Suite Professional et l’extension burpsuite-project-file-parser. Il est particulièrement utile lorsque vous avez déjà un projet capturé et que vous devez extraire rapidement une preuve précise : résultats d’audit, historique du proxy, entrées de la carte du site ou contenu HTTP correspondant à une regex.

À qui s’adresse-t-il

Utilisez le skill burpsuite-project-parser si vous travaillez sur un audit de sécurité, une revue d’incident, la prise de notes en red team ou le tri d’un projet Burp, et que vous voulez une extraction reproductible plutôt que des clics manuels. C’est un très bon choix lorsque la question est : « montrez-moi le trafic ou le constat correspondant dans ce projet », et non : « aidez-moi à tester une application en production depuis zéro ».

Ce qui le distingue

La principale valeur du skill burpsuite-project-parser est d’encapsuler un workflow dépendant de Burp dans un chemin automatisable. On réduit ainsi les hésitations sur le point de départ, les options à utiliser et la façon de cibler un fichier de projet. Le skill est aussi plus adapté à la récupération de preuves qu’un prompt générique, parce qu’il s’appuie sur les données de projet Burp et sur les filtres pris en charge par l’extension.

Comment utiliser le skill burpsuite-project-parser

Installation et préparation de l’environnement

Installez-le avec npx skills add trailofbits/skills --skill burpsuite-project-parser. Le skill suppose que Burp Suite Professional et l’extension burpsuite-project-file-parser sont déjà installés ; il ne parse pas directement les fichiers .burp. Si votre installation de Burp se trouve dans un chemin non standard, définissez BURP_JAVA et BURP_JAR avant d’exécuter le script.

Fournissez une entrée adaptée

Pour tirer le meilleur parti de burpsuite-project-parser, commencez par une cible concrète et un objectif d’extraction précis : le chemin du fichier .burp, le type d’artefact recherché et, si besoin, un motif de recherche. De bons exemples d’entrée ressemblent à : « Extraire les corps de réponse contenant csrf depuis case-2024-07.burp » ou « Exporter proxyHistory pour les requêtes vers login.example.com en ne gardant que les en-têtes de requête ». Des entrées faibles comme « analyse ce projet » obligent le skill à deviner votre intention.

Workflow recommandé et premiers fichiers à consulter

Commencez par SKILL.md, puis examinez scripts/burp-search.sh pour voir les options prises en charge et les valeurs par défaut selon la plateforme. La sortie d’aide du script est le moyen le plus rapide de comprendre le guide burpsuite-project-parser dans la pratique : auditItems, proxyHistory, siteMap, responseHeader='regex' et responseBody='regex'. Lisez la section sur les filtres de sous-composants avant de lancer des exports volumineux, car c’est ce qui fait la différence entre un résultat ciblé et un export bruyant.

Conseils pratiques pour améliorer la qualité des résultats

Commencez par le filtre le plus étroit qui répond à la question, puis élargissez seulement si nécessaire. Pour un travail d’audit de sécurité, demandez une seule catégorie de constat, un seul hôte ou une seule famille de regex à la fois afin que le jeu de résultats reste exploitable. Si vous avez besoin de reproductibilité, indiquez le nom exact du fichier .burp, la version de Burp et la tranche de sortie souhaitée dans l’invite, afin que le skill puisse s’aligner directement sur le chemin de commande pris en charge.

FAQ du skill burpsuite-project-parser

burpsuite-project-parser nécessite-t-il Burp Suite Professional ?

Oui. Le skill burpsuite-project-parser dépend de Burp Suite Professional et de l’extension burpsuite-project-file-parser. Si vous n’avez pas les deux, l’installation ne vous sera pas utile, car le skill délègue le parsing à Burp au lieu de lire les fichiers .burp de manière native.

Est-ce mieux qu’un prompt classique ?

Pour ce workflow, oui. Un prompt simple peut décrire ce qu’il faut chercher, mais burpsuite-project-parser ajoute la structure de commande pratique, les types d’artefacts pris en charge et les noms de filtres nécessaires pour exécuter l’extraction de façon cohérente. C’est important lorsque vous voulez utiliser burpsuite-project-parser pour la collecte de preuves en audit de sécurité, et non pour une recherche manuelle ponctuelle.

Est-ce adapté aux débutants ?

Oui, si vous savez déjà ce qu’est un fichier de projet Burp et si vous pouvez identifier la preuve que vous cherchez. C’est moins adapté si vous avez d’abord besoin d’aide pour comprendre la terminologie de Burp elle-même. Les débutants obtiennent les meilleurs résultats en commençant par proxyHistory ou siteMap avant de tenter des recherches regex plus spécifiques.

Comment améliorer le skill burpsuite-project-parser

Définissez une cible plus précise

Le principal gain vient d’un périmètre plus étroit. Au lieu de demander tout le trafic, précisez un hôte, une fenêtre temporelle si vous la connaissez, une catégorie de constat ou un motif regex. Plus le skill burpsuite-project-parser peut s’ancrer sur un artefact concret, moins il risque de renvoyer un export trop volumineux pour être relu efficacement.

Faites correspondre l’option à la tâche

Choisissez le type de sortie qui correspond au besoin : auditItems pour les constats, proxyHistory pour reconstruire le trafic, siteMap pour inventorier les points de terminaison, et les recherches sur les réponses pour la chasse au contenu. Si vous utilisez burpsuite-project-parser pour du triage, évitez de commencer par des recherches larges dans le corps des réponses, sauf si vous connaissez déjà la famille de chaînes que vous traquez.

Itérez du résumé vers la preuve

Un bon workflow de guide burpsuite-project-parser consiste à obtenir d’abord une extraction ciblée, à inspecter les lignes correspondantes, puis à relancer avec un filtre de sous-composant plus précis si la sortie reste bruitée. Si le premier passage ne renvoie rien, élargissez légèrement la regex, vérifiez le chemin du fichier de projet et confirmez que Burp et l’extension sont bien disponibles avant de changer de stratégie de recherche.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

sharp-edges

par trailofbits

La skill sharp-edges vous aide à repérer les API, configurations et interfaces où la voie la plus simple conduit à un usage non sécurisé. Utilisez-la pour examiner les flux d’authentification, les enveloppes cryptographiques, les valeurs par défaut risquées, les sémantiques null ou zéro, ainsi que les choix de conception propices aux erreurs d’utilisation. Elle convient très bien aux travaux de sharp-edges pour l’audit de sécurité lorsqu’il faut des cas concrets de pièges de conception, et non de vagues suppositions de sécurité.

Security Audit

Favoris 0GitHub 5k

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

ossfuzz

par trailofbits

Découvrez le skill ossfuzz pour configurer le fuzzing continu, inscrire un projet, planifier un harness et passer en revue le workflow de build. Ce guide aide les ingénieurs sécurité et les mainteneurs à évaluer la maturité du projet, repérer les blocages de compilation et préparer une trajectoire concrète, de l’arborescence source vers OSS-Fuzz ou une infrastructure de fuzzing privée.

Security Audit

Favoris 0GitHub 5k

codeql

par trailofbits

Le skill codeql vous aide à exécuter CodeQL avec moins d’angles morts lors d’un audit de sécurité. Il met l’accent sur la qualité de la base de données, le choix des suites, les extensions de données et la revue SARIF, afin de rendre l’usage de codeql plus fiable sur les langages pris en charge. Servez-vous-en pour suivre des étapes de guide codeql reproductibles lorsque vous analysez de vrais dépôts.

Security Audit

Favoris 0GitHub 5k

semgrep-rule-creator

par trailofbits

semgrep-rule-creator crée des règles Semgrep de qualité production pour les vulnérabilités de sécurité, les patterns de bugs, les détections de flux de taint et les standards de codage. Utilisez le skill semgrep-rule-creator pour les audits de sécurité lorsque vous avez besoin de règles précises, de cas de test et d’une validation solide plutôt que d’un brouillon générique.

Security Audit

Favoris 0GitHub 5k

insecure-defaults

par trailofbits

La compétence insecure-defaults aide à repérer les configurations de type fail-open qui laissent le logiciel fonctionner avec des paramètres dangereux au lieu de s’arrêter. Utilisez-la pour un audit de sécurité du code de production, des configurations de déploiement et de la logique de gestion des secrets afin de détecter une authentification faible, des secrets codés en dur et des valeurs par défaut trop permissives.

Security Audit

Favoris 0GitHub 5k

constant-time-analysis

par trailofbits

constant-time-analysis est un skill d’audit de sécurité conçu pour repérer les risques de side-channel temporel dans le code cryptographique avant qu’ils ne deviennent des bogues exploitables. Utilisez-le pour examiner les calculs dépendants des secrets, les branches, les comparaisons et le code compilé lors de revues en C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoris 0GitHub 5k

secure-workflow-guide

par trailofbits

secure-workflow-guide guide un workflow de sécurité Solidity en 5 étapes : triage Slither, contrôles spécifiques aux fonctionnalités, inspection visuelle, notes sur les propriétés de sécurité et revue manuelle. Conçu pour les équipes de smart contracts, les auditeurs et les builders qui veulent un guide secure-workflow-guide reproductible avant un déploiement ou une mise en production.

Security Audit

Favoris 0GitHub 4.9k

algorand-vulnerability-scanner

par trailofbits

algorand-vulnerability-scanner est une skill d’audit de sécurité pour Algorand TEAL et PyTeal. Elle aide à repérer 11 problèmes courants, notamment les attaques de rekeying, les lacunes de validation des frais, les vérifications de champs et les failles de contrôle d’accès. Utilisez la skill algorand-vulnerability-scanner pour une première revue pratique avant un audit manuel.

Security Audit

Favoris 0GitHub 4.9k

supabase-postgres-best-practices

par supabase

supabase-postgres-best-practices est un skill d’optimisation Supabase Postgres dédié au tuning des requêtes, à l’indexation, à la conception de schéma, aux performances RLS, au verrouillage et à la gestion des connexions.

Database Engineering

Favoris 0GitHub 1.7k

entra-agent-id

par microsoft

entra-agent-id est une skill d’aperçu Microsoft Entra Agent ID destinée aux équipes de développement backend qui construisent des identités d’agent IA compatibles OAuth2 avec Graph beta. Elle couvre la mise en place du blueprint, les principaux du blueprint, les identités d’agent, les autorisations, les sponsors, la fédération d’identité de charge de travail et l’authentification via sidecar. Utilisez-la pour comprendre l’installation de entra-agent-id, son usage et les contraintes de déploiement.

Backend Development

Favoris 0GitHub 0

token-integration-analyzer

par trailofbits

token-integration-analyzer est un skill d’audit de sécurité pour les implémentations et intégrations de tokens. Il vérifie la conformité ERC20/ERC721, les patterns de tokens atypiques, les privilèges du propriétaire, la rareté et la gestion des tokens non standard dans les workflows d’audit de sécurité. Utilisez le guide token-integration-analyzer pour réduire l’incertitude et évaluer les risques de compatibilité.

Security Audit

Favoris 0GitHub 4.9k

cosmos-vulnerability-scanner

par trailofbits

cosmos-vulnerability-scanner détecte les bugs critiques pour le consensus dans les modules Cosmos SDK, les contrats CosmWasm, les intégrations IBC et les stacks Cosmos EVM. Utilisez ce guide cosmos-vulnerability-scanner pour vos audits de sécurité, l’analyse des risques de blocage de chaîne, les scénarios de perte de fonds et les revues pré‑lancement.

Security Audit

Favoris 0GitHub 4.9k

ruzzy

par trailofbits

ruzzy est un skill de fuzzing Ruby guidé par la couverture, conçu pour tester du code Ruby pur ainsi que des extensions C pour Ruby. Utilisez le guide ruzzy pour configurer un environnement Linux pris en charge, vérifier le câblage des sanitizers et mettre en place des workflows de fuzzing concrets pour les tâches d’audit de sécurité.

Security Audit

Favoris 0GitHub 5k