BurpSuite2024.5

1 工具介绍

本版本更新介绍

此版本引入了Burp Scanner对WebSockets的支持、对记录登录编辑器的改进、WebSocket 匹配和替换规则以及许多性能改进。

Burp Scanner 支持 WebSockets
我们已更新内部代理的配置以允许 WebSocket 流量。这使 Burp Scanner 现在可以抓取依赖 WebSocket 的站点，包括那些具有基于 WebSocket 的记录登录的站点。
请注意，Burp Scanner 不会扫描 WebSocket 流量本身。

记录登录 UI 编辑器
我们改进了记录登录的编辑器。以前，您需要手动编辑 JSON 文件才能更改现有的记录登录。现在，我们在“编辑记录登录”对话框中添加了“查看为事件”视图，该视图以格式化的表格显示序列中的事件。从这里，您可以添加、编辑或删除序列中的事件，而无需手动更改 JSON 文件。

WebSocket 匹配和替换规则
您现在可以配置匹配和替换规则，以在 WebSocket 消息通过代理时自动替换部分内容。以前，此功能仅适用于 HTTP 消息。
WebSocket 匹配和替换规则可让您更轻松地绕过客户端安全控制，例如对、、和等特殊字符的 HTML 编码<。>此外"，'它们还使您能够更轻松地修改用户权限以访问隐藏功能。

生活质量改善
我们做出了以下生活质量改进：
您现在可以为每个目标主机配置多个平台身份验证凭据。在“设置”对话框的“连接”>“平台身份验证”下执行此操作。此更新使您能够快速为不同用户启用和禁用平台身份验证，以便更轻松地测试访问控制。
我们提高了 Burp 单包攻击的准确性。这使得它能够更有效地发现具有较小竞争窗口的竞争条件漏洞。

性能改进
我们做出了以下性能改进：
我们减少了内存使用量，特别是对于运行大量扩展程序的用户。现在，扩展程序选项卡仅在选择其对应的工具选项卡时才会加载，例如，选择相应的Repeater或Proxy历史记录选项卡时。加载后，扩展程序选项卡在您来回切换时会保留其状态。

我们通过进行以下更改减少了用户界面延迟：
我们修复了当拥有大型项目文件的用户对表列进行排序时导致 Burp 冻结的问题。
当选择大量历史记录项时，我们减少了从代理历史记录切换选项卡所需的时间。
我们大大加快了访问注释的速度，特别是在按大表中的注释列进行排序时。

Bug修复
我们修复了以下错误：
热键高亮设置不会自动更新以匹配之前的高亮颜色。
攻击期间对入侵者表过滤器的更新并未应用于攻击运行时的新消息。
BChecks 验证器无法检测某些正则表达式字符串的问题，导致验证通过。
尾随#字符导致 BCheck 验证错误失败。
爬虫无法识别被userId称为有效用户名字段的字段。

浏览器升级
我们已将 Burp 的内置浏览器升级到 Linux、Windows 和 MacOS 的 125.0.6422.60。有关更多信息，请参阅Chromium 发行说明。