抓包神器-burp

news2024/12/23 0:37:49

Burp Suite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试。

burp_2023.8专业版中文PJ_开箱即用
版本内容
此版本引入了在 Intruder 中重用 HTTP/1 连接、在使用硬件令牌和智能卡进行身份验证时指定中间 CA 证书、安全打开第三方项目文件以及在 Repeater 中设置自定义 SNI 值的功能。

在Burp Scanner中,我们在Target工具中引入了一个新的项目级爬行路径选项卡,并支持扫描期间的GraphQL自省。我们还进行了一些小的改进并修复了一些错误。

在 Intruder 中重用 HTTP/1 连接来加速攻击
您现在可以控制 Intruder 是否重用连接来发出多个 HTTP/1 请求。这可以大大提高使用 HTTP/1 时的攻击速度,因为 Burp 不需要为每个请求打开一个新连接并在收到响应后关闭它。在Intruder > 设置 > HTTP/1 连接重用中找到它。

安全打开第三方项目文件
我们引入了一种新的启动设置,使您能够信任或不信任项目。如果您取消选择“信任此项目”,Burp 现在可以删除可能在项目文件中配置的潜在有害设置。

如果您要打开来自未知或不受信任来源的项目文件,这尤其有用。在启动向导中或在“设置”>“套件”>“启动行为”>“无法识别的项目文件”中找到此设置。

指定硬件令牌和智能卡的中间 CA 证书
现在,您可以在为硬件令牌和智能卡添加新的 PKCS#11 证书时设置中间证书。这使您能够测试不直接信任中间 CA 的目标应用程序。在“设置”>“网络”>“TLS”>“客户端 TLS 证书”中找到它。

在 Repeater 中设置自定义 SNI 值
您现在可以在 Repeater 中设置自定义 SNI 值。这使您能够使用 SNI 中的 Collaborator 负载重现 Scanner 检测到的外部服务交互问题。在Repeater > 配置目标详细信息中找到它。

项目级扫描爬行路径
项目中的所有扫描现在可以共享爬网路径信息。这提高了扫描效率,使 Burp Scanner 能够在运行新扫描时建立在它已经发现的路径上。

因此,我们在目标工具中添加了一个新的“爬网路径”选项卡。此选项卡以与现有扫描结果“爬网路径”选项卡相同的方式显示路径信息,但由所有扫描而不是单个扫描填充。您运行的任何新扫描都可以利用并添加到此选项卡中显示的信息中。

孤立扫描
作为全局爬网路径工作的一部分,我们在扫描启动器中添加了“运行隔离扫描”选项。孤立扫描的结果不会出现在“目标”>“站点地图”或“目标”>“爬网路径”选项卡中,也不会出现在仪表板的问题活动日志中。例如,如果您想要测试设置而不影响“实时”扫描结果,则此功能非常有用。

您可以从任务 > 查看详细信息 > 目标选项卡 查看隔离扫描的站点地图和爬网路径信息。此选项卡上显示的信息仅适用于选定的扫描任务。

GraphQL 内省
Burp Scanner 现在可以在 GraphQL 端点上运行内省查询,以获取有关可用查询和突变的信息。如果内省查询成功,Burp Scanner 会向发现的每个查询和突变发送进一步的请求,以尝试发现尽可能多的攻击面。要启用 GraphQL 自省,请在扫描配置的 “杂项”部分中选择新的“执行 GraphQL 自省”设置。

如果在爬网中找不到任何 GraphQL 端点,Burp Scanner 现在还可以尝试使用常见端点后缀列表来猜测 GraphQL 端点。要启用 GraphQL 端点猜测,请在扫描配置的 “杂项”部分中选择新的“测试通用 GraphQL 端点”设置。

自动扫描限制
我们在扫描启动器的资源池部分 添加了新的自动限制设置。您现在可以配置哪些 HTTP 响应代码应导致 Burp Scanner 在请求之间引入短暂的延迟。以前,Burp Scanner 只能在服务器响应 HTTP 429 代码时限制请求。

Burp Scanner 的其他改进
我们改进了抓取优化,以减少错过有趣内容的机会。具体来说,Burp Scanner 现在将使用具有不同可见文本的相同事件侦听器的可点击对象视为单独的实体,并访问它们全部。

Bug修复
我们修复了一些小错误,包括:

我们修复了在检查 302/400 响应后检查 200 响应时 导致代理响应面板冻结的问题。

我们提高了“发送至组织者”功能 的可靠性。

我们修复了以下问题:在较旧版本的 Burp 中 Intruder 生成的请求/响应在较新版本中无法看到。

我们修复了一个错误,即爬虫并不总是等待导致 DOM 突变返回的缓慢异步查询。这会导致页面加载缓慢并在某些情况下丢失元素。

浏览器升级
我们已将 Burp 的内置浏览器(Windows 和 Linux)升级至 115.0.5790.110,Mac 升级至 115.0.5790.114。
在这里插入图片描述
在这里插入图片描述
工具下载链接请联系作者获取!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/841165.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

机器学习常用Python库安装

机器学习常用Python库安装 作者日期版本说明Dog Tao2022.06.16V1.0开始建立文档 文章目录 机器学习常用Python库安装Anaconda简介使用镜像源配置 Pip简介镜像源配置 CUDAPytorch安装旧版本 TensorFlowGPU支持说明 DGL简介安装DGLLife RDKitscikit-multilearn Anaconda 简介 …

RocketMQ使用

说明:本文介绍RocketMQ的消费模式&消息类型,RocketMQ的安装参考及简单使用,参考:http://t.csdn.cn/BKFPj 消费模式 RocketMQ与RabbitMQ最大的区别在于,RocketMQ是根据消息的Topic锁定消费者的,Topic属…

当不在公司时,如何在外远程登录公司内网OA系统?

在外远程登录公司内网OA系统 文章目录 在外远程登录公司内网OA系统前言1. 打开“远程桌面”选项2. 安装cpolar客户端3. 登录cpolar客户端4. 创建隧道5. 生成公网地址6. 远程连接其他电脑 前言 随着信息化办公的快速推进,很多企业已经用上了OA系统,并且我…

ubuntu上安装mosquitto服务

1、mosquitto是什么 Mosquitto 项目最初由 IBM 和 Eurotech 于 2013 年开发,后来于 2016 年捐赠给 Eclipse 基金会。Eclipse Mosquitto 基于 Eclipse 公共许可证(EPL/EDL license)发布,用户可以免费使用。作为全球使用最广的 MQTT 协议实现之一 &#x…

Diffusion扩散模型学习4——Stable Diffusion原理解析-inpaint修复图片为例

Diffusion扩散模型学习4——Stable Diffusion原理解析-inpaint修复图片为例 学习前言源码下载地址原理解析一、先验知识二、什么是inpaint三、Stable Diffusion中的inpaint1、开源的inpaint模型2、基于base模型inpaint 四、inpaint流程1、输入图片到隐空间的编码2、文本编码3、…

东芝低导通电阻N沟道MOSFET 为智能穿戴设备赋能

东芝低导通电阻N沟道MOSFET TPN6R303NC,LQ(S 为智能穿戴设备赋能 MOSFET也就是金属-氧化物半导体场效应晶体管,外形与普通晶体管差不多,但具有不同的控制特性,主要是通过充电和放电来切换或放大信号。 此次推出的用于智能穿戴的30V N沟道MO…

CMake的使用--以ORCA避碰C++库为例

1、安装cmake 链接:Download | CMake 版本需下载Binary distributions这个模块下的 Windows x64 Installer: cmake-3.27.1-windows-x86_64.msi 注意事项 1.1勾选为所有用户添加到PATH路径 Add CMake to the system PATH for all users 1.2安装路径建议直接在c…

Dueling Network

Dueling Network —— Dueling Network Architectures for Deep Reinforcement Learning 论文下载地址 论文介绍 图9. Dueling Network 模型结果示意图 Dueling Network与传统DQN的区别在于神经网络结构的不同,Dueling Netowrk在传统DQN的基础上只进行了微小的改动…

python 合并多个excel文件

使用 openpyxl 思路: 读取n个excel的文件,存储在一个二维数组中,注意需要转置。将二维数组的数据写入excel。 安装软件: pip install openpyxl源代码: import os import openpyxl # 将n个excel文件数据合并到一个…

jupyter lab环境配置

1.jupyterlab 使用虚拟环境 conda install ipykernelpython -m ipykernel install --user --name tf --display-name "tf" #例:环境名称tf2. jupyter lab kernel管理 show kernel list jupyter kernelspec listremove kernel jupyter kernelspec re…

微软研究院展示Project Rumi项目;参数高效微调(PEFT)

🦉 AI新闻 🚀 微软研究院展示Project Rumi项目,通过多模态方法增强人工智能理解能力 摘要:微软研究院展示了Project Rumi项目,该项目通过结合文本、音频和视频数据,并采用多模态副语言提示的方法&#xf…

VL 模型 Open-Set Domain Adaptation with Visual-Language Foundation Models 论文阅读笔记

Open-Set Domain Adaptation with Visual-Language Foundation Models 论文阅读笔记 一、Abstract 写在前面 又是一周周末,在家的时间感觉过得很快呀。今天没得时间写博客,留下个标题,明天搞完。 论文地址:Open-Set Domain Adapta…

探索人工智能 | 计算机视觉 让计算机打开新灵之窗

前言 计算机视觉是一门研究如何使机器“看”的科学,更进一步的说,就是指用摄影机和电脑代替人眼对目标进行识别、跟踪和测量等机器视觉,并进一步做图形处理,使电脑处理成为更适合人眼观察或传送给仪器检测的图像。 文章目录 前言…

安全基础 --- https详解 + 数组(js)

CIA三属性:完整性(Confidentiality)、保密性(Integrity)、可用性(Availability),也称信息安全三要素。 https 核心技术:用非对称加密传输对称加密的密钥,然后…

第一篇:一文看懂 Vue.js 3.0 的优化

我们的课程是要解读 Vue.js 框架的源码,所以在进入课程之前我们先来了解一下 Vue.js 框架演进的过程,也就是 Vue.js 3.0 主要做了哪些优化。 Vue.js 从 1.x 到 2.0 版本,最大的升级就是引入了虚拟 DOM 的概念,它为后续做服务端渲…

java+springboot+mysql员工工资管理系统

项目介绍: 使用javaspringbootmysql开发的员工工资管理系统,系统包含超级管理员,系统管理员、员工角色,功能如下: 超级管理员:管理员管理;部门管理;员工管理;奖惩管理&…

电脑技巧:七个非常神奇有趣的网站,值得收藏

目录 1、Airpano 2、AI创作家 3、The Useless Web 4、全球高清实况摄像头 5、MyFreeMP3 6、世界名画拼图 7、纪妖(中国古今妖怪集) 互联网是一个神奇的世界,存在着许多令人惊叹的网站,这里就给大家分享七个非常神奇有趣的网…

快速排序【Java算法】

文章目录 1. 概念2. 思路3. 代码实现 1. 概念 快速排序是一种比较高效的排序算法,采用 “分而治之” 的思想,通过多次比较和交换来实现排序,在一趟排序中把将要排序的数据分成两个独立的部分,对这两部分进行排序使得其中一部分所有…

接口测试—知识速查(Postman)

文章目录 接口测试1. 概念2. 原理3. 测试流程4. HTTP协议4.1 URL的介绍4.2 HTTP请求4.2.1 请求行4.2.2 请求头4.2.3 请求体4.2.4 完整的HTTP请求示例 4.3 HTTP响应4.3.1 状态行4.3.2 响应头4.3.3 响应体4.3.4 完整的HTTP请求示例 5. RESTful接口规范6. 测试用例的设计思路6.1 单…

基于Vue+wangeditor实现富文本编辑

目录 前言分析实现具体解决的问题有具体代码实现如下效果图总结前言 一个网站需要富文本编辑器功能的原因有很多,以下是一些常见的原因: 方便用户编辑内容:富文本编辑器提供了类似于Office Word的编辑功能,使得那些不太懂HTML的用户也能够方便地编辑网站内容。提高用户体验…