01
更新原文
在此版本中,我们显著提高了 Burp 的用户和项目选项的可用性。我们还为 DOM Invader 和 Montoya API 添加了新功能。
用户和项目选项重构
我们已将“用户选项”和“项目选项”选项卡中的所有选项移至新的“设置”对话框,可通过主工具栏上的按钮或可配置的热键访问。
这个新对话框以多种方式改进了 Burp 选项的布局和导航:
-
您现在可以在一个窗口中访问所有用户和项目设置。
-
您现在可以使用搜索和过滤命令来查找您需要的设置。
-
经过广泛的用户体验研究,我们将可用设置重新排列成更合乎逻辑的结构。
对话框中的每个设置都有一个标记,指示它是用户级设置还是项目级设置。对于可以在任一级别应用的设置,此项目只有一个覆盖选项切换,使您能够选择设置应应用的级别。
DOM Invader:通过 Web 消息检测跨域数据泄漏
DOM Invader 现在可以检测当前页面何时将包含来自 URL 的数据的 Web 消息发送到不同的目标源。在这种情况下,攻击者可以通过将受影响的页面与提取数据的事件侦听器一起嵌入到 中来潜在地窃取敏感数据,例如OAuth令牌。iframe
手动测试这些漏洞是一项费力的任务,但 DOM Invader 可以为您自动执行大部分过程。只需从 DOM Invader 的网络消息设置中启用检测跨域泄漏选项:
DOM Invader:删除 Permissions-Policy 标头
您现在可以配置 DOM Invader 以Permissions-Policy从响应中去除标头。
一些网站通过标头设置指令 Permissions-Policy 阻止对 DOM Invader 的功能至关重要的功能,例如同步 XHR。在这种情况下,DOM Invader 通过控制台通知您,并提示您启用设置菜单中的删除权限策略标头选项。
Montoya API 的代理 WebSocket 侦听器支持
您现在可以使用 Montoya API 来拦截和修改代理的 WebSocket 消息。
小改进
此版本包括对 Burp Suite 工具的一些小改进,包括:
-
您现在可以只扫描选定的插入点,而无需运行完整扫描。
-
您现在可以通过扩展表上的新上下文菜单选项一次加载或卸载多个扩展。
-
我们在“编辑热键”对话框中添加了一个搜索文本字段,使您能够过滤热键表。
浏览器升级
我们已经将 Burp 的浏览器升级到Chromium 107.0.5304.87,它修复了一些高严重性的安全问题。
错误修复
我们修复了请求有时无法在消息编辑器中正确呈现的错误。
02
工具获取
微信公众号归零安全后台回复“Burp Suite 2022.11”
原文始发于微信公众号(归零安全):Burp Suite 2022.11 重磅更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论