0x01 BurpSuite介绍
BurpSuite2022.5专业版发布于2022年5月26日,此版本为BurpScanner
添加了许多增强功能,包括几个新的基于JWT
的扫描检查,以及在您提供应用程序登录时跳过未经身份验证的抓取的选项。BAppStore
现在还提供有关BApp
对您的系统施加了多少负载的应用内反馈。
0x02 BurpSuite更新详情
JWT扫描检查
JWT实现通常包含严重的漏洞,但这些漏洞可能很难彻底审计。BurpScanner
现在可以检测8个常见的基于JWT
的漏洞-节省您的时间,并更容易保护使用JWT的站点。
有关更多详细信息,请参阅Burp中目标>问题定义选项卡上的各个问题定义。
对BApp性能影响的反馈
在Extender>BAppStore选项卡上,我们现在显示我们估计每个BApp
在您的系统上放置多少负载的指示。
- 估计的系统影响分为以下几类:
- 内存显示
BApp
可能对BurpSuite的内存使用产生什么影响。 - CPU显示
BApp
对您的CPU施加的额外负载的估计值。 - 时间显示
BApp
对BurpSuite速度的影响。这包括界面的响应能力以及工具完成任务所需的时间。 - 扫描仪显示对完成扫描所需时间的可能影响。
- 总体显示所有这些类别中的最高影响等级。
如果您认为Burp的执行速度低于应有的速度,我们建议您检查这些估计值以查找您已加载的任何BApp
,并删除那些您不积极使用的BApp
。这应该可以帮助您在不影响性能的情况下扩展Burp的功能。
同时使用多个扩展会对性能产生累积影响。屏幕顶部的栏显示当前加载的所有BApp 的累积影响。
在扫描期间跳过未经身份验证的爬网
如果您提供了应用程序登录信息供BurpScanner
使用,您现在可以选择跳过未经身份验证的爬网。这有助于减少爬取时间。
要启用此选项,请转到扫描配置中的抓取优化设置,然后选择仅使用我提供的登录名进行爬网。请注意,如果您不提供任何应用程序登录名,爬虫程序会自动恢复为执行未经身份验证的爬虫。
改进的中继器选项卡行为
我们对BurpRepeater
中选项卡的外观和行为进行了一些小的调整。这些将为将来的一些附加功能铺平道路。
- 当中继器选项卡溢出到新行时,它们现在保持相同的大小,而不是拉伸以填充整行。这样可以更轻松地跟踪选项卡的位置。
- 从上下文菜单中,您现在可以选择重命名选项卡和删除当前选项卡左侧或右侧的所有选项卡。
- 屏幕右上角有一个新的操作菜单(3个点)。目前,这提供了有限范围的选项,但我们将在未来继续添加。
在会话处理选项中设置标题
您现在可以使用BurpSuite
的会话处理选项向请求添加标头和值。当您使用新的设置特定标头值操作创建会话处理规则时,您提供的标头和值对将添加到规则范围内的任何请求中。
浏览器升级
已将Burp的浏览器升级到Chromium102.0.5005.61。
Java 要求的更改
BurpSuite现在需要Java11
或更高版本才能运行。除非您将BurpSuite安装为.jar
文件,否则此更改不会影响您,因为安装程序包含捆绑的私有Java运行时环境,因此您无需担心安装或更新Java。但是,使用早于11的Java版本编写的任何扩展都可能无法从该版本开始正确运行。
其他改进
我们已将一系列常见的Google Analytics cookie
添加到忽略的扫描插入点列表中。我们通过调整在抓取完成后识别要审核的位置的方式来提高BurpScanner
的性能。
在您的扫描配置中,您现在可以为扫描的爬网和审核阶段定义单独的超时设置,覆盖全局项目设置。