0x01 BurpSuite介绍
BurpSuite2022.2.3版发布于2022年3月11日,属于稳定版本,此版本支持超快速抓取静态内容、增强对单页应用程序的扫描以及一些错误修复。
0x02 BurpSuite更新
静态内容的超快速爬取
-
BurpScanner的
Fastest
抓取策略现在针对尽可能快地抓取静态网站进行了优化。我们通过禁用与静态内容无关的功能来实现这一点,例如自动会话处理和状态恢复。 -
为了让您大致了解节省的费用,这些更改将爬取我们的静态文档站点所需的时间从大约45分钟减少到不到
10
分钟。 -
对于长期使用Burp的用户来说,这个策略实际上是BurpSuite1.7中
Spider
工具的改进版本,使用新的爬虫引擎进行模拟。
改进了单页应用程序的扫描
此版本极大地增强BurpScanner
处理基于React等框架构建的单页应用程序(SPA)的能力。
-
爬虫现在可以识别网站何时使用
URL
片段进行客户端路由并相应地调整其行为。这使它能够成功扫描到达的内容,而无需向服务器发送额外的请求。 -
爬虫现在可以识别浏览器在页面上呈现组件时触发的
API
调用,并在必要时将它们发送给审计。
安全修复
-
几个月前,我们修复了一个
HTML注入
漏洞,该漏洞可能导致BurpSuite发送不尊重其上游代理配置的请求。这可能会在无法阻止出站SMB
的Windows系统上泄漏NetNTLM
哈希。此问题是由未安全配置为呈现HTML的Swing GUI
组件引起的。 -
此版本提供了额外的缓解措施,可防止
Bapp
引入此漏洞,即使它们包含允许HTML呈现的Swing组件。 -
这个问题是通过我们的错误赏金计划报告的。
浏览器升级
-
我们已将Burp的浏览器升级到
Chromium99.0.4844.51
Bug修复
我们还修复了几个小错误。最值得注意的是,我们有:
-
解决了导致某些Windows用户在更新后重新启动Burp时看到"
在您的系统上未找到JVM
"错误的问题。 -
修复了一个问题,该问题意味着记录的登录序列在测试时有时会被缩短。
0x03 BurpSuite官方校验码
-
官方校验码
0x04 BurpSuite Pro获取
点击下方关注微信公众号:乌云安全,后台回复“ burp2.3 ”获取。