最新BurpSuite2022.5.1专业版破解(稳定版)

• JWT实现通常包含严重的漏洞，但这些漏洞可能很难彻底审计BurpScanner 现在可以检测8个常见的基于JWT的漏洞-节省您的时间，并更容易保护使用JWT的站点。

• 有关更多详细信息，请参阅Burp中目标>问题定义选项卡上的各个问题定义。

在Extender>BAppstore选项卡上，我们现在显示我们估计每个BApp在您的系统上放置多少负载的指示。

估计的系统影响分为以下几类：

• 内存显示BApp可能对BurpSuite的内存使用产生什么影响。

• CPU显示BApp对您的CPU施加的额外负载的估计值。

• 时间显示了BApp对BurpSuite速度的影响。这包括界面的响应能力以及工具完成任务所需的时间。

• 扫描仪显示对完成扫描所需时间的可能影响。

• 总体显示所有这些类别中的最高影响等级。

如果您认为Burp的执行速度低于应有的速度，我们建议您检查这些估计值以查找您已加载的任何BApp，并删除那些您不积极使用的BApp。这应该可以帮助您在不影响性能的情况下扩展Burp的功能。

同时使用多个扩展会对性能产生累积影响。屏幕顶部的栏显示当前加载的所有BApp的累积影响。

如果您提供了应用程序登录信息供BurpScanner使用，您现在可以选择跳过未经身份验证的爬网。这有助于减少爬取时间。

要启用此选项，请转到扫描配置中的Crawl Optimization 设置，然后选择Crawl using my provided logins only 。请注意，如果您不提供任何应用程序登录名，爬虫程序会自动恢复为执行未经身份验证的爬虫。

您现在可以使用BurpSuite的会话处理选项向请求添加标头和值。当您使用新的设置特定标头值操作创建会话处理规则时，您提供的标头和值对将添加到规则范围内的任何请求中。

BurpSuite一直使用经过完全验证的TLS连接到已知服务，例如portswigger.net和公共BurpCollaborator服务器。但是，在与任意网站通信时，它不会验证上游TLS证书，并且默认支持弱密码。这最大限度地提高了兼容性，但牺牲了对主动中间人(MITM)攻击的保护。

如果您担心与您正在测试的站点的通信可能会受到主动MITM攻击，您现在可以配置 Burp以验证上游TLS证书。为此，请转到项目设置>TLS并选中验证上游TLS复选框。

在这种情况下，我们建议还选择使用Java安装的默认协议和密码选项，以防止Burp使用弱密码。

请注意，未来计划对此功能进行额外的强化。

我们对BurpRepeater中选项卡的外观和行为进行了一些小的调整。这些将为将来的一些附加功能铺平道路。

• 当中继器选项卡溢出到新行时，它们现在保持相同的大小，而不是拉伸以填充整行。这样可以更轻松地跟踪选项卡的位置。

• 从上下文菜单中，您现在可以选择重命名选项卡和删除当前选项卡左侧或右侧的所有选项卡。

• 屏幕右上角有一个新的操作菜单(3个点)。目前，这提供了有限范围的选项，但我们将在未来继续添加。

我们已将Burp的浏览器升级到Chromium102.0.5005.61

• 我们已将一系列常见的Google Analytics cookie添加到忽略的扫描插入点列表中。

• 我们通过调整在抓取完成后识别要审核的位置的方式来提高BurpScanner的性能。

• 在您的扫描配置中，您现在可以为扫描的爬网和审核阶段定义单独的超时设置，覆盖全局项目设置。

BurpSuite现在需要Java11或更高版本才能运行。除非您将BurpSuite安装为.jar文件，否则此更改不会影响您，因为安装程序包含捆绑的私有Java运行时环境，因此您无需担心安装或更新Java。但是，使用早于11的Java版本编写的任何扩展都可能无法从该版本开始正确运行。

• 我们已经解决了一些用户在使用具有大型资源池的Intruder时遇到的一些性能问题。

• 我们修复了入侵者的复制攻击配置菜单项有时无响应的问题。

• 我们修复了扫描配置的问题，即使用我提供的仅登录设置的抓取未在编辑配置菜单上正确显示。即使对于在初始设置过程中已选择的配置，此设置也显示为未选择。

• 我们已经修复了一个问题，即实时被动爬网任务不会自动处理从中继器推送的响应。

公众号后台回复“Burp5.1”获取

获取Burp汉化版，戳“阅读全文”

原文始发于微信公众号（雾晓安全）：最新BurpSuite2022.5.1专业版破解(稳定版)