目录导航
burpsuite2021.9更新日志
burpsuite2021.9发布于2021年10月12日. 属于测试版本,不喜欢尝鲜者慎下[可能有bug].
此版本支持手动测试隐藏的 HTTP/2 攻击面,并为 Burp Intruder 和 Burp Scanner 添加了许多改进。
在 Burp Repeater 中手动测试隐藏的 HTTP/2 攻击面
您现在可以从 Burp Repeater 发送 HTTP/2 请求,即使服务器没有通过 ALPN 明确宣传 HTTP/2 支持。这允许您手动探索其他“隐藏的”HTTP/2 攻击面。
要启用此行为,首先从中继器菜单中选择允许 HTTP/2 ALPN 覆盖选项,然后从检查器面板将协议切换到 HTTP/2。
Burp Intruder 改进
我们对 Burp Intruder 进行了以下改进:
- 在配置要在攻击期间发送的payloads列表时,您现在可以单击重复数据删除按钮删除任何重复条目。这有助于提高攻击效率,因为您可以避免在组合多个单词列表时发送冗余的重复请求。
- 当使用Grep – Match或Grep – Payloads选项时,结果表现在包含一列,显示在响应中找到的匹配数,而不仅仅是一个复选框。
- 在资源池配置中,现在有一个选项可以将请求之间的延迟设置为增量值。这使您能够研究目标应用程序的行为如何随着请求变得更加分散而发生变化。例如,您可以使用它来确定会话在请求之间保持活动状态的时间。
- 您现在可以选择多行并对 Intruder 配置设置中的某些表执行批量操作。
改进了服务器端模板注入的扫描检查
我们在服务器端模板注入 (SSTI) 扫描检查中添加了payloads,以检测以下基于 Java 的模板引擎中的漏洞:
- SpEl
- JSF
- Freemarker
- Thymeleaf
- Velocity
- JSTL
我们还使用 Burp Collaborator 集成了额外的带外检测方法。
在 Burp Scanner 中审计异步流量
由爬虫与页面元素交互触发的 API 调用现在将被发送以供审核。
我们还改进了爬虫与页面上的表单交互的方式,以更好地支持现代单页应用程序。
改进了 Burp Scanner 中 XML 和 JSON 插入点的处理
我们进行了以下更改以改进扫描期间对 XML 和 JSON 插入点的处理:
- 注入未加引号的 JSON 上下文中的payloads现在会自动用引号括起来,以确保 Burp Scanner 始终生成有效的 JSON 文档。
- 标准 XML 属性中的插入点,例如
xml:lang和xmlns:*现在默认被忽略。如果您愿意,可以在“审核选项”>“忽略的插入点”下的扫描配置中覆盖此设置。 - 将有效负载附加到 XML CDATA 部分中的插入点时,Burp Scanner 现在会删除 CDATA 块并正确地对有效负载进行实体编码。
记录登录改进
Burp Scanner 现在可以在记录的登录序列中处理 iframe、多选、滚动元素和 SVG 元素。我们还通过改变我们在页面上定位和交互元素的方式来提高记录登录的可靠性。
其他改进
- 在Logger选项卡上,我们在上下文菜单中添加了一个选项,用于将日志导出为 CSV 文件。
- 在仪表板选项卡上,您现在可以重命名任务以帮助您更轻松地识别它们。您现在还可以按名称或其他详细信息搜索任务。
- 您现在可以设置启动 Burp 时是恢复还是暂停任务的默认首选项。要更改默认设置,请转到用户选项 > 其他 > 任务。
Bug修复
此版本还提供了许多错误修复,最显着的是在 Burp Repeater 中突出显示或选择文本时的错误。
历史版本更新日志
BurpSuite2021.8.4更新日志
我们已将 Burp Suite 的嵌入式浏览器更新到 Chromium 版本 94.0.4606.61,它修复了几个安全问题,其中一些被 Google归类为高。
BurpSuite2021.9下载地址:
云中转网盘:
yunzhongzhuan.com/#sharefile=yNKbSEwp_14044
解压密码: www.ddosi.org
BurpSuite2021.9 sha256和md5校验码
ddosi.org.bat md5
4e15d99ce4865f944b07572f47c529b1
ddosi.org.bat sha256
1573aeefa6608a0b5c1ed78adc1f42c218525c3eeb6e6dc4658ee6a22048553f
burploader-old.jar md5
df0c96d0cb9d4d337bf583d4f07ae832
burploader-old.jar sha256
d203b0f62c7a4cfe0bc93a01988db7023a59de5298a5edc83bf8ef472d861319
burpsuite_pro_v2021.9.jar sha256
d65fc500d329004f2865e1e6eeb25643afe9ba57f1ead6ac6973972430a2707d
burpsuite_pro_v2021.9.jar md5
65f9670788bb0ec0588bfc3aac777d9d
BurpSuiteLoader_v2021.9.jar sha256
1e54fbbaf3423c8b15b2507cb1e8c18092b0f728aa705ef8d235ac4300cd3e29
BurpSuiteLoader_v2021.9.jar md5
defafc938a0344b188d7273d3dd3eb48
burpsuite2021.9正确打开方式及注意事项]:
[此处的贴图为老版本的图,操作方法是一致的,切勿惊慌~]
对于windows用户
①java版本≥9 , 推荐使用java11.
②设置环境变量
③激活方式自行查看往期文章(搜索burp)
④下载速度慢复制链接到迅雷/IDM下载
⑤运行ddosi.org.bat.
⑥然后双击burploader-old.jar
⑦复制粘贴………
⑧看下图演示.
ddosi.org.bat里面的内容:
java --illegal-access=permit -Dfile.encoding=utf-8 -javaagent:BurpSuiteLoader_v2021.9.jar -noverify -jar burpsuite_pro_v2021.9.jar如果还是无法运行说明你没有设置环境变量
解决方法:
①设置环境变量.
②修改java为C:\Program Files\Java\jdk-11.0.7\bin\java.exe
[根据自己的版本来改,切勿直接复制]
对于linux用户
/usr/lib/jvm/java-11-openjdk-amd64/bin/java --illegal-access=permit -Dfile.encoding=utf-8 -javaagent:BurpSuiteLoader_v2021.9.jar -noverify -jar burpsuite_pro_v2021.9.jarburpsuite2021.9亲测可用
保险起见,请放虚拟机中运行
关于burp的更多知识,技巧,插件可参考往期文章:
http://www.ddosi.org/?s=burp
转载请注明出处及链接.