此版Burp Scanner增加了许多增强功能,包括几个新的基于jwt的扫描检查,以及在提供应用程序登录时跳过未经身份验证的爬行的选项。BApp Store现在还提供应用内部反馈,显示BApp在你的系统上放置了多少负载。
JWT扫描检查
JWT实现通常包含严重的漏洞,但是要彻底地审计这些漏洞可能很困难。Burp Scanner现在可以检测8个常见的基于jwt的漏洞-节省您的时间,并使使用jwt的网站更容易安全。
有关更多详细信息,请参阅 Target > Issue definitions tab。
对BApp性能影响的反馈
在Extender > BApp store选项卡上,现在显示一个指示,表示估计每个BApp在您的系统上放置了多少负载。
估计的系统影响分为以下几类:
-
内存显示了BApp可能会对Burp Suite的内存使用产生什么影响。
-
CPU显示了BApp在CPU上放置多少额外负载的估计。
-
时间显示了BApp对打嗝组曲速度的影响。这包括接口的响应性和工具完成任务所需的时间。
-
扫描仪显示了完成扫描所需时间的可能影响。
-
总体显示了所有这些类别中最高的影响评级。
如果认为Burp的运行速度低于它的正常速度,建议检查一下已经加载的所有bapp,并删除那些你不积极使用的bapp。这将帮助您在不影响性能的情况下扩展Burp的功能。
同时使用多个扩展会对性能产生累积影响。屏幕顶部的栏显示了当前加载的所有BApps的累计影响。
在扫描期间跳过未经验证的爬网
如果您已经为Burp Scanner提供了应用程序登录以供使用,现在可以选择跳过未经身份验证的爬行。这有助于减少爬行时间。
要启用此选项,请转到您的扫描配置中的抓取优化设置,并选择仅使用我提供的登录抓取。注意,如果您不提供任何应用程序登录,爬虫程序将自动恢复到执行未经身份验证的爬网。
改进的中继器选项卡行为
我们对Burp Repeater中选项卡的外观和行为进行了一些小的调整。这些将为将来的一些附加功能铺平道路。
-
当中继器选项卡溢出到新行上时,这些选项卡现在保持相同的大小,而不是拉伸以填充整行。这样可以更容易地跟踪选项卡的位置。
-
从关联菜单中,您现在可以选择重命名选项卡和删除当前选项卡左侧或右侧的所有选项卡。
-
屏幕右上角有一个新的操作菜单(3个点)。目前,这提供了有限的选择范围,但我们将在将来继续增加。
在会话处理选项中设置标题
现在可以使用Burp Suite的会话处理选项向请求添加头和值。当使用新的设置特定头值操作创建会话处理规则时,提供的头和值对将被添加到规则范围内的任何请求中。
浏览器升级
已将Burp浏览器升级到Chromium 102.0.5005.61
Java需求的更改
Burp Suite现在需要Java 11或更高版本才能运行。除非您将Burp Suite安装为.jar文件,否则此更改不会对您造成影响,因为安装程序包含一个绑定的私有Java运行时环境,因此您无需担心安装或更新Java。但是,在11之前的Java版本中编写的任何扩展可能无法在此版本之后正确运行。
其他改进
-
已经将一系列常见的谷歌Analytics cookie添加到被忽略的扫描插入点列表中。
-
改进了Burp扫描器的性能,改进了我们在爬行完成后识别审计位置的方式。
-
在扫描配置中,现在可以为扫描的抓取和审核阶段定义单独的超时设置,覆盖全局项目设置。
错误修复
已经解决了一些用户在使用带有大型资源池的Intruder时所面临的性能问题。
英文版
汉化版
微信公众号回复“burp22528”获取
往期推荐
免责声明
合一安全提供的资源仅供学习,利⽤本公众号合一安全所提供的信息⽽造成的任何直接或者间接的后果及损失,均由使⽤者本⼈负责,公众号合一安全及作者不为此承担任何责任,一旦造成后果请⾃⾏承担责任!合一安全部分内容及图片源自网络转载,版权归作者及授权人所有,若您发现有侵害您的权利,请联系我们进行删除处理。谢谢 !
原文始发于微信公众号(合一安全):BurpSuite v2022.5专业版
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论