前言
Burp Suite是一个无需安装软件,下载完成后,直接从命令行启用即可。开箱即可使用支持LInux/Windows/Mac
更新介绍
这个版本为Burp Scanner引入了几个新功能,包括审计项目的优先级,在API端点上配置身份验证的能力,以及新的web缓存欺骗扫描检查。我们还做了一些性能改进。
审计优先级
打嗝扫描器现在在运行审计之前对审计项进行优先级排序。这有助于扫描更早地发现关键漏洞,即使在短时间有限的扫描中也能提高一致性和覆盖范围。
打嗝扫描器根据两个属性计算每个审计项的分数:
兴趣级别根据操作类型、内容类型以及项目是否需要身份验证来评估需要进一步手工调查的项目的可能性。
攻击面暴露的重点是审计项暴露的唯一插入点的数量。
请注意,由于现在以不同的顺序审核项目,您可能会注意到扫描结果的外观发生了变化。
有关审计优先级如何工作的详细说明,请参阅文档。
API扫描改进
此版本引入了API扫描的新特性,使您能够配置端点身份验证并查看将被扫描的参数。
API扫描的认证
您现在可以在API扫描启动器的API details > authentication选项卡中为API扫描配置端点身份验证。这使打嗝扫描器访问身份验证的端点,增加您的扫描覆盖率。打嗝扫描器目前支持以下身份验证类型:
基本身份验证
API密钥认证
持票人身份验证
Burp自动检测链接到OpenAPI定义中的特定端点的身份验证方法。此外,您可以添加OpenAPI定义中未检测到的身份验证方法。
有关API扫描身份验证工作原理的详细说明,请参阅文档。
查看API参数
对于使用API规范启动的扫描,打嗝扫描仪现在在API详细信息中有一个参数选项卡。这可以帮助您查看所有端点的参数,包括它们的名称、值、描述以及它们在HTTP请求中出现的位置。Burp Scanner使用这些参数细节来确定在检查端点时如何正确请求信息,从而使您更容易清楚地了解正在扫描的内容。如果API定义没有样例值,则Burp Scanner将生成它们。
Web缓存欺骗扫描检查
打嗝扫描器现在可以检查网页缓存欺骗。Web缓存欺骗是一个安全漏洞,攻击者操纵URL路径来欺骗Web缓存,使其存储和提供动态内容,就好像它是静态的一样,从而导致敏感数据未经授权的泄露。当缓存错误地解释已被操纵的URL(例如,通过向动态URL添加虚假的文件扩展名)并存储敏感信息,然后未经授权的用户可以访问这些信息时,就会发生这种情况。
爬虫请求过滤
爬虫现在确定请求是要发送到广告域还是跟踪域。这些请求将被自动丢弃,通过过滤掉不必要的流量来帮助提高性能。
如果需要,您仍然可以通过将这些域添加到扫描范围来抓取这些域。
性能改进
我们正在进行一些性能改进。在这个版本中,我们做了以下改进:
默认情况下,Burp现在对来自代理的出站请求重用HTTP/1连接。这可能会改善浏览器的加载时间。如果您在使用此功能时遇到任何问题,请告诉我们。如果服务器支持,你也可以在“设置”菜单中的“代理”>“其他”下禁用HTTP/1的“使用keep-alive”功能。
我们已经修复了在表中快速切换结果时导致Proxy历史记录延迟的问题。
生活质量的提高
我们做了以下改进:
我们添加了一个Uninteresting headers用户设置。这使您可以选择Burp的默认行为是在消息编辑器的Pretty选项卡中显示还是隐藏不感兴趣的标头。您可以设置一次,它将应用于您机器上所有Burp安装的所有新编辑器。
我们已经改变了网站地图组织内容的方式。树视图现在是按字母顺序组织的,首先是根域,然后是子域。这将兄弟域放在彼此旁边,使导航更容易。
在中继器的搜索结果现在显示相关的中继器标签编号和历史项目编号。现在,您可以右键单击结果并选择Go to Repeater选项卡,以快速切换到相关的请求/响应对。
错误修复
我们修复了以下问题:
我们修复了导致Burp在处理具有大量插入点的请求时消耗大量内存的错误。
我们修复了导致孤立扫描使用全局主机历史记录的错误。这可以防止一些项目被扫描,如果他们被扫描由于其他问题
使用/安装方法
1.脚本改进
windows bat文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件
for
/R
"%~dp0"
%%i
in
(burpsuite_pro_v*.jar)
do
(
set
"burp_jar=%%~fi"
goto :Found
)
linux sh文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件
# 使用globbing找到以"burpsuite_pro_v"开头的jar文件
for
jarfile
in
burpsuite_pro_v*.jar;
do
# 如果找到了文件,就跳出循环
if
[[ -e
"
$jarfile
"
]];
then
break
fi
done
2.首次安装请查看安装文档PDF进行安装
3.老用户直接打开使用即可
4.英文版点击burpsuiteProEN启动
5.中文版点击创建桌面快捷方式即可启动
获取方法
解压密码:HackTwo
原文始发于微信公众号(渗透安全HackTwo):最新BurpSuite2024.4.3专业版中英文版下载Windows/Linux/Mac仅支持Java21以上
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论