1 工具介绍
本版本更新介绍
此版本引入了Burp Scanner对WebSockets的支持、对记录登录编辑器的改进、WebSocket 匹配和替换规则以及许多性能改进。
Burp Scanner 支持 WebSockets
我们已更新内部代理的配置以允许 WebSocket 流量。这使 Burp Scanner 现在可以抓取依赖 WebSocket 的站点,包括那些具有基于 WebSocket 的记录登录的站点。
请注意,Burp Scanner 不会扫描 WebSocket 流量本身。
记录登录 UI 编辑器
我们改进了记录登录的编辑器。以前,您需要手动编辑 JSON 文件才能更改现有的记录登录。现在,我们在“编辑记录登录”对话框中添加了“查看为事件”视图,该视图以格式化的表格显示序列中的事件。从这里,您可以添加、编辑或删除序列中的事件,而无需手动更改 JSON 文件。
WebSocket 匹配和替换规则
您现在可以配置匹配和替换规则,以在 WebSocket 消息通过代理时自动替换部分内容。以前,此功能仅适用于 HTTP 消息。
WebSocket 匹配和替换规则可让您更轻松地绕过客户端安全控制,例如对 、 、 和 等特殊字符的 HTML 编码<。>此外",'它们还使您能够更轻松地修改用户权限以访问隐藏功能。
生活质量改善
我们做出了以下生活质量改进:
您现在可以为每个目标主机配置多个平台身份验证凭据。在“设置”对话框的“连接”>“平台身份验证”下执行此操作。此更新使您能够快速为不同用户启用和禁用平台身份验证,以便更轻松地测试访问控制。
我们提高了 Burp 单包攻击的准确性。这使得它能够更有效地发现具有较小竞争窗口的竞争条件漏洞。
性能改进
我们做出了以下性能改进:
我们减少了内存使用量,特别是对于运行大量扩展程序的用户。现在,扩展程序选项卡仅在选择其对应的工具选项卡时才会加载,例如,选择相应的Repeater或Proxy历史记录选项卡时。加载后,扩展程序选项卡在您来回切换时会保留其状态。
我们通过进行以下更改减少了用户界面延迟:
我们修复了当拥有大型项目文件的用户对表列进行排序时导致 Burp 冻结的问题。
当选择大量历史记录项时,我们减少了从代理历史记录切换选项卡所需的时间。
我们大大加快了访问注释的速度,特别是在按大表中的注释列进行排序时。
Bug修复
我们修复了以下错误:
热键高亮设置不会自动更新以匹配之前的高亮颜色。
攻击期间对入侵者表过滤器的更新并未应用于攻击运行时的新消息。
BChecks 验证器无法检测某些正则表达式字符串的问题,导致验证通过。
尾随#字符导致 BCheck 验证错误失败。
爬虫无法识别被userId称为有效用户名字段的字段。
浏览器升级
我们已将 Burp 的内置浏览器升级到 Linux、Windows 和 MacOS 的 125.0.6422.60。有关更多信息,请参阅Chromium 发行说明。
2 使用方法
为了方便工作本工具使用的是内置的jdk21-21.0.3环境,下载好文件后点击后缀为.bat或.vbs的文件即可正常启动burpsuite。
3 获取方式
链接:https://pan.baidu.com/s/1RGDkWezWPrIbnZ4INC3CAQ?pwd=bq7z
提取码:bq7z