Burp Suite2019.9破解版下载

burpsuite2021.9发布于2021年10月12日. 属于测试版本,不喜欢尝鲜者慎下[可能有bug].
此版本支持手动测试隐藏的HTTP/2攻击面，并为BurpIntruder 和BurpScanner 添加了许多改进。

您现在可以从BurpRepeater 发送HTTP/2请求，即使服务器没有通过ALPN明确宣传HTTP/2支持。这允许您手动探索其他“隐藏的”HTTP/2攻击面。

要启用此行为，首先从中继器菜单中选择允许HTTP/2ALPN 覆盖选项，然后从检查器面板将协议切换到HTTP/2。

我们对BurpIntruder 进行了以下改进：
在配置要在攻击期间发送的payloads列表时，您现在可以单击重复数据删除按钮删除任何重复条目。这有助于提高攻击效率，因为您可以避免在组合多个单词列表时发送冗余的重复请求。
当使用Grep – Match或Grep – Payloads选项时，结果表现在包含一列，显示在响应中找到的匹配数，而不仅仅是一个复选框。
在资源池配置中，现在有一个选项可以将请求之间的延迟设置为增量值。这使您能够研究目标应用程序的行为如何随着请求变得更加分散而发生变化。例如，您可以使用它来确定会话在请求之间保持活动状态的时间。
您现在可以选择多行并对 Intruder 配置设置中的某些表执行批量操作。
改进了服务器端模板注入的扫描检查
我们在服务器端模板注入(SSTI)扫描检查中添加了payloads，以检测以下基于Java的模板引擎中的漏洞：
SpEl
JSF
Freemarker
Thymeleaf
Velocity
JSTL
我们还使用BurpCollaborator 集成了额外的带外检测方法。
在 BurpScanner 中审计异步流量
由爬虫与页面元素交互触发的API调用现在将被发送以供审核。
我们还改进了爬虫与页面上的表单交互的方式，以更好地支持现代单页应用程序。
改进了Burp Scanner 中XML 和JSON 插入点的处理
我们进行了以下更改以改进扫描期间对XML和JSON插入点的处理：
注入未加引号的 JSON 上下文中的payloads现在会自动用引号括起来，以确保 Burp Scanner 始终生成有效的 JSON 文档。
标准 XML 属性中的插入点，例如xml:lang和xmlns:*现在默认被忽略。如果您愿意，可以在“审核选项”>“忽略的插入点”下的扫描配置中覆盖此设置。
将有效负载附加到 XML CDATA 部分中的插入点时，Burp Scanner 现在会删除 CDATA 块并正确地对有效负载进行实体编码。

BurpScanner 现在可以在记录的登录序列中处理iframe、多选、滚动元素和SVG元素。我们还通过改变我们在页面上定位和交互元素的方式来提高记录登录的可靠性。