BurpSuite2024.2.1

news2025/1/15 23:07:20

1.更新介绍

此版本引入了特定的API 扫描功能，并将 Bambdas 合并到 Logger 捕获过滤器中。我们还改进了 DOM Invader 和 Burp Suite 导航记录器的功能，并进行了许多其他改进和错误修复。

API扫描
我们引入了特定的 API 扫描功能。您现在可以上传 OpenAPI 定义 (v3.0.x) 以进行 API 扫描。特别是，您可以从本地文件上传 API 定义。这使您能够启动 API 扫描，而无需将定义托管在 Web 服务器上。您还可以查看和配置将扫描的 API 端点，以提高对扫描的可见性和控制力。将来，我们计划添加更多功能，包括端点身份验证处理。关注此空间！

要启动 API 扫描，请单击仪表板上的新建扫描 > API 扫描。要了解有关如何运行 API 扫描的更多信息，请参阅扫描 API。

使用 Bambdas 对 Logger 捕获过滤器进行高级过滤
我们正在将 Bambdas 引入 Burp Suite 的更多领域。这些基于 Java 的代码片段使您能够直接从 UI 自定义 Burp。

此版本将 Bambdas 引入 Logger 捕获过滤器。这使您能够自定义 Logger 以准确捕获您需要的内容，从而帮助您通过过滤掉不必要的流量来集中分析。

要了解有关 Burp 中 Bambdas 的更多信息，请参阅Bambdas。

新扫描检查：CSP漏洞
我们添加了新的被动扫描检查，可识别内容安全策略(CSP) 漏洞。Burp Scanner现在可以识别不安全的脚本权限、点击劫持、表单劫持和不正确的 CSP 语法等问题。

Burp Suite 导航记录器的改进
我们修复了 Burp Suite 导航记录器中的一些小错误：

我们删除了导致某些网站出现错误的影子 DOM 元素的检测。
我们修复了在隐身模式下记录非隐身窗口的错误。
我们引入了一种更可靠的 URL 检索方法来修复报告的 URL 有时不正确的错误。
我们修复了 XPath 生成有时会错误生成的错误，导致 Burp 重放失败。
DOM Invader 的改进
我们对 DOM Invader 进行了一些改进：

我们添加了对自定义接收器检测的支持。这可能使您能够找到客户端 JavaScript 中未映射到 JavaScript 接收器的漏洞。
我们修复了影响 POC 生成的错误。
其他改进
我们还进行了以下改进：

为了让您更好地控制内存优化，我们添加了一个设置，使您能够为 Burp 的 Java 虚拟机设置最大内存限额。
我们增强了表格排序功能，恢复了最多按三列排序的能力。此更新使您可以更好地控制表数据的组织方式。
我们向 Collaborator 引入了一项功能，可在选项卡标签上显示未读交互的数量，使您能够一目了然地轻松监控交互计数。
我们删除了密码字段，并启用了自动完成扫描检查，解决了现代浏览器行为导致的冗余问题。
为了方便在过滤器之间复制 Bambdas，我们引入了非模式过滤器对话框。这使您能够同时打开多个过滤器对话框，并在使用 Burp Suite 时保持它们打开状态。
Bug修复
我们修复了 Burp Scanner 中的一些小错误，包括：

我们改进了复杂网站的记录登录功能。
我们修复了一个错误，如果在审核阶段暂停并删除任务，Burp Scanner 将不会启动新扫描。
我们优化了源代码泄露扫描检查，以防止过多的内存分配。
我们修复了 Burp Scanner 的浏览器请求处理在高请求并发情况下失败的错误。
我们修复了一些与浏览器相关的错误导致扫描失败的问题。
浏览器升级
我们已将 Burp 的内置浏览器（Mac 和 Linux 版）升级至 122.0.6261.57，Windows 版升级至 122.0.6261.57/.58。有关更多信息，请参阅Chromium 发行说明。

2.使用/安装方法

1.脚本改进

windows bat文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件for /R "%~dp0" %%i in (burpsuite_pro_v*.jar) do (    set "burp_jar=%%~fi"    goto :Found)linux sh文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件# 使用globbing找到以"burpsuite_pro_v"开头的jar文件for jarfile in burpsuite_pro_v*.jar; do    # 如果找到了文件，就跳出循环    if [[ -e "$jarfile" ]]; then        break    fidone

2.首次安装请查看安装文档PDF进行安装