Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。开箱即可使用支持LInux/Windows/Mac
此版本引入了特定的API 扫描功能,并将 Bambdas 合并到 Logger 捕获过滤器中。我们还改进了 DOM Invader 和 Burp Suite 导航记录器的功能,并进行了许多其他改进和错误修复。
API扫描
我们引入了特定的 API 扫描功能。您现在可以上传 OpenAPI 定义 (v3.0.x) 以进行 API 扫描。特别是,您可以从本地文件上传 API 定义。这使您能够启动 API 扫描,而无需将定义托管在 Web 服务器上。您还可以查看和配置将扫描的 API 端点,以提高对扫描的可见性和控制力。将来,我们计划添加更多功能,包括端点身份验证处理。关注此空间!
要启动 API 扫描,请单击仪表板上的新建扫描 > API 扫描。要了解有关如何运行 API 扫描的更多信息,请参阅扫描 API。
使用 Bambdas 对 Logger 捕获过滤器进行高级过滤
我们正在将 Bambdas 引入 Burp Suite 的更多领域。这些基于 Java 的代码片段使您能够直接从 UI 自定义 Burp。
此版本将 Bambdas 引入 Logger 捕获过滤器。这使您能够自定义 Logger 以准确捕获您需要的内容,从而帮助您通过过滤掉不必要的流量来集中分析。
要了解有关 Burp 中 Bambdas 的更多信息,请参阅Bambdas。
新扫描检查:CSP漏洞
我们添加了新的被动扫描检查,可识别内容安全策略(CSP) 漏洞。Burp Scanner现在可以识别不安全的脚本权限、点击劫持、表单劫持和不正确的 CSP 语法等问题。
Burp Suite 导航记录器的改进
我们修复了 Burp Suite 导航记录器中的一些小错误:
我们删除了导致某些网站出现错误的影子 DOM 元素的检测。
我们修复了在隐身模式下记录非隐身窗口的错误。
我们引入了一种更可靠的 URL 检索方法来修复报告的 URL 有时不正确的错误。
我们修复了 XPath 生成有时会错误生成的错误,导致 Burp 重放失败。
DOM Invader 的改进
我们对 DOM Invader 进行了一些改进:
我们添加了对自定义接收器检测的支持。这可能使您能够找到客户端 JavaScript 中未映射到 JavaScript 接收器的漏洞。
我们修复了影响 POC 生成的错误。
其他改进
我们还进行了以下改进:
为了让您更好地控制内存优化,我们添加了一个设置,使您能够为 Burp 的 Java 虚拟机设置最大内存限额。
我们增强了表格排序功能,恢复了最多按三列排序的能力。此更新使您可以更好地控制表数据的组织方式。
我们向 Collaborator 引入了一项功能,可在选项卡标签上显示未读交互的数量,使您能够一目了然地轻松监控交互计数。
我们删除了密码字段,并启用了自动完成扫描检查,解决了现代浏览器行为导致的冗余问题。
为了方便在过滤器之间复制 Bambdas,我们引入了非模式过滤器对话框。这使您能够同时打开多个过滤器对话框,并在使用 Burp Suite 时保持它们打开状态。
Bug修复
我们修复了 Burp Scanner 中的一些小错误,包括:
我们改进了复杂网站的记录登录功能。
我们修复了一个错误,如果在审核阶段暂停并删除任务,Burp Scanner 将不会启动新扫描。
我们优化了源代码泄露扫描检查,以防止过多的内存分配。
我们修复了 Burp Scanner 的浏览器请求处理在高请求并发情况下失败的错误。
我们修复了一些与浏览器相关的错误导致扫描失败的问题。
浏览器升级
我们已将 Burp 的内置浏览器(Mac 和 Linux 版)升级至 122.0.6261.57,Windows 版升级至 122.0.6261.57/.58。有关更多信息,请参阅Chromium 发行说明。
使用/安装方法
1.脚本改进
windows bat文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件
for /R "%~dp0" %%i in (burpsuite_pro_v*.jar) do (
set "burp_jar=%%~fi"
goto :Found
)
linux sh文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件
# 使用globbing找到以"burpsuite_pro_v"开头的jar文件
for jarfile in burpsuite_pro_v*.jar; do
# 如果找到了文件,就跳出循环
if [[ -e "$jarfile" ]]; then
break
fi
done
2.首次安装请查看安装文档PDF进行安装
3.老用户直接打开使用即可
4.英文版点击burpsuiteProEN启动
5.中文版点击创建桌面快捷方式即可启动
免责声明
获取方法
公众号回复Burp获取软件
本工具及文章技巧仅面向合法授权的企业安全建设行为,如您需要测试本工具的可用性,请自行搭建靶机环境。为避免被恶意使用,本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。
在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行扫描。如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具来源于网络,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!
在安装并使用本工具前,请您务必审慎阅读、充分理解各条款内容,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。
扫一扫
2772
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
