这个版本为Burp Scanner引入了几个新功能，包括审计项目的优先级，在API端点上配置身份验证的能力，以及新的web缓存欺骗扫描检查。我们还做了一些性能改进。

审计优先级打嗝扫描器现在在运行审计之前对审计项进行优先级排序。这有助于扫描更早地发现关键漏洞，即使在短时间有限的扫描中也能提高一致性和覆盖范围。

打嗝扫描器根据两个属性计算每个审计项的分数:

兴趣级别根据操作类型、内容类型以及项目是否需要身份验证来评估需要进一步手工调查的项目的可能性。攻击面暴露的重点是审计项暴露的唯一插入点的数量。请注意，由于现在以不同的顺序审核项目，您可能会注意到扫描结果的外观发生了变化。

有关审计优先级如何工作的详细说明，请参阅文档。

API扫描改进此版本引入了API扫描的新特性，使您能够配置端点身份验证并查看将被扫描的参数。

API扫描的认证您现在可以在API扫描启动器的API details > authentication选项卡中为API扫描配置端点身份验证。这使打嗝扫描器访问身份验证的端点，增加您的扫描覆盖率。打嗝扫描器目前支持以下身份验证类型:

基本身份验证API密钥认证持票人身份验证Burp自动检测链接到OpenAPI定义中的特定端点的身份验证方法。此外，您可以添加OpenAPI定义中未检测到的身份验证方法。

有关API扫描身份验证工作原理的详细说明，请参阅文档。

查看API参数对于使用API规范启动的扫描，打嗝扫描仪现在在API详细信息中有一个参数选项卡。这可以帮助您查看所有端点的参数，包括它们的名称、值、描述以及它们在HTTP请求中出现的位置。Burp Scanner使用这些参数细节来确定在检查端点时如何正确请求信息，从而使您更容易清楚地了解正在扫描的内容。如果API定义没有样例值，则Burp Scanner将生成它们。

Web缓存欺骗扫描检查打嗝扫描器现在可以检查网页缓存欺骗。Web缓存欺骗是一个安全漏洞，攻击者操纵URL路径来欺骗Web缓存，使其存储和提供动态内容，就好像它是静态的一样，从而导致敏感数据未经授权的泄露。当缓存错误地解释已被操纵的URL(例如，通过向动态URL添加虚假的文件扩展名)并存储敏感信息，然后未经授权的用户可以访问这些信息时，就会发生这种情况。

爬虫请求过滤爬虫现在确定请求是要发送到广告域还是跟踪域。这些请求将被自动丢弃，通过过滤掉不必要的流量来帮助提高性能。

如果需要，您仍然可以通过将这些域添加到扫描范围来抓取这些域。

性能改进我们正在进行一些性能改进。在这个版本中，我们做了以下改进:

默认情况下，Burp现在对来自代理的出站请求重用HTTP/1连接。这可能会改善浏览器的加载时间。如果您在使用此功能时遇到任何问题，请告诉我们。如果服务器支持，你也可以在“设置”菜单中的“代理”>“其他”下禁用HTTP/1的“使用keep-alive”功能。我们已经修复了在表中快速切换结果时导致Proxy历史记录延迟的问题。生活质量的提高我们做了以下改进:

我们添加了一个Uninteresting headers用户设置。这使您可以选择Burp的默认行为是在消息编辑器的Pretty选项卡中显示还是隐藏不感兴趣的标头。您可以设置一次，它将应用于您机器上所有Burp安装的所有新编辑器。我们已经改变了网站地图组织内容的方式。树视图现在是按字母顺序组织的，首先是根域，然后是子域。这将兄弟域放在彼此旁边，使导航更容易。在中继器的搜索结果现在显示相关的中继器标签编号和历史项目编号。现在，您可以右键单击结果并选择Go to Repeater选项卡，以快速切换到相关的请求/响应对。错误修复我们修复了以下问题:

我们修复了导致Burp在处理具有大量插入点的请求时消耗大量内存的错误。我们修复了导致孤立扫描使用全局主机历史记录的错误。这可以防止一些项目被扫描，如果他们被扫描由于其他问题