此版本对 Intruder 和 Repeater 选项卡栏进行了多项改进,包括在滚动或包裹选项卡视图之间进行选择的能力,以及对于 Repeater 而言,能够将选项卡组织成组。它还引入了 HTTP/1 keep-alive,其中 Burp Suite 现在可以重用单个 TCP 连接来发送多个 HTTP/1 请求,并在“扫描配置”菜单中添加了一系列预设扫描模式。最后,发布了 DOM Invader 的几项关键改进,包括测试客户端原型污染的能力。
分组标签
现在可以将中继器选项卡组织成颜色编码的组。分组选项卡使处理大量打开的选项卡和跟踪相关请求变得比以往更容易
我们还在标签栏添加了搜索功能,您可以使用它来搜索单个标签或组。
可滚动标签视图
Intruder 和 Repeater 现在为选项卡提供两个视图。除了标准的包装视图外,现在还可以将选项卡显示为单个可滚动的行。这有助于释放屏幕空间,尤其是在较小的显示器上。
DOM Invader改进
此版本对 DOM Invader 进行了以下主要改进:
-
现在可以使用 DOM Invader 来测试客户端原型污染。
-
增强的DOM视图现在显示附加信息,以帮助分析漏洞和潜在的利用。这包括框架路径、元素的外部 HTML 以及将有效负载传递到接收器时发生的事件。同样,Messages视图现在会告诉您发送每条消息的帧和发送到的帧。
-
您现在可以为 DOM Invader 找到的每个接收器、源和消息设置回调函数。这使您能够使用自定义 JavaScript 代码记录结果。
-
现在可以防止 DOM Invader 合并具有重复值的消息。这在您想要查看发送的每条消息的情况下很有用。
-
现在可以禁用特定的源和接收器以减少噪音。
HTTP/1保持活动状态
您现在可以使用同一个 TCP 连接发送多个 HTTP/1 请求。以前,Burp 总是在每个请求/响应对之后关闭连接,即使服务器支持连接重用。
以这种方式重用连接在请求速度和定时准确性方面带来了显着的好处。
要启用 HTTP/1 keep-alive,请转到Project options > HTTP > HTTP/1并选择Use keep-alive for HTTP/1 if server supports it 选项。您可以使用Enable HTTP/1 keep-alive reuse菜单选项覆盖中继器中的此设置。
预设扫描模式
重大新闻
要使用这些新的扫描模式,请从“扫描配置”菜单中选择使用预设扫描模式,然后选择一个可用选项。
安全修复
此版本提供了以下安全改进:
-
此版本将 Burp 的浏览器升级到Chromium 103.0.5060.53,它修补了一个关键的安全问题。它还修复了与中继器选项卡相关的几个小错误。
-
已经解决了一个低严重性的安全问题,该问题可能会由于错误地将精心制作的响应解释为重定向而导致 Repeater 和 Intruder 泄露 URL。
-
强化了 Burp 的 Referer 计算,使其与现代浏览器中使用的默认 Referrer-Policy 设置保持一致。
BU修复
此版本还提供了许多错误修复。最为显着地:
-
Burp 的浏览器在启动时不再向 Google 发出不必要的请求。
-
修复了中继器响应可能被长时间运行的请求覆盖的问题。
-
修复了在无头模式下登录的问题,即正在创建日志文件但没有数据写入日志。
微信公众号回复“burp075”下载
往期推荐
免责声明
合一安全提供的资源仅供学习,利⽤本公众号合一安全所提供的信息⽽造成的任何直接或者间接的后果及损失,均由使⽤者本⼈负责,公众号合一安全及作者不为此承担任何责任,一旦造成后果请⾃⾏承担责任!合一安全部分内容及图片源自网络转载,版权归作者及授权人所有,若您发现有侵害您的权利,请联系我们进行删除处理。谢谢 !
原文始发于微信公众号(合一安全):BurpSuite Pro v2022.6.1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论