Burp Suite Professional 2024.12 发布下载，新增功能简介

Burp Suite Professional 2024.12 (macOS, Linux, Windows) - Web 应用安全、测试和扫描

请访问原文链接：https://sysin.org/blog/burp-suite-pro/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

Burp Suite Professional，更快、更可靠的安全测试，领先的 Web 安全测试工具包。

Burp Suite Pro 简介

Burp Suite Professional 是一套用于测试 web 安全性的高级工具集 —- 所有这些都在一个产品中。从一个基本的拦截代理到尖端的 Burp 扫描器，使用 Burp Suite Pro，正确的工具只需点击一下就可以了。

新增功能

2024 年 12 月 19

此版本引入了 Burp Intruder 捕获过滤器、Burp Collaborator 中 SMTP 消息的自动解码、改进的登录记录准确性以及许多其他改进。

• Burp Intruder 捕获过滤器

  我们在 Burp Intruder attack results （打嗝入侵者攻击结果） 窗口中添加了捕获过滤器。这使您能够通过选择 Intruder 在攻击期间捕获的响应类型来控制资源使用。

• 在 Burp Collaborator 中自动解码 SMTP 消息

  Burp Collaborator 现在会自动解码 SMTP 消息中的 Base64 和 Q 编码数据，从而更轻松地分析电子邮件内容，而无需手动解码。这在测试电子邮件拆分或 HTTP Host 标头漏洞时特别有用。

• 提高了记录登录的准确性

  我们通过使用 aria-label 属性来识别元素，从而增强了记录的登录信息。现在，录制器会在登录录制期间保存 aria 标签 属性，并且 Replay 使用它们来可靠地定位元素 (sysin)，即使对于复杂的网站或登录序列也是如此。

• 使用 Montoya API 增强可扩展性

  我们更新了 Montoya API，以便在从扩展发出请求时提供更大的灵活性和控制力：

  • 您现在可以自定义 Server Name Indication （SNI） 字段。这有助于测试 HTTP Host 标头攻击等场景。
  • 您可以设置自定义请求超时 (sysin)，以定义 Burp 在发送请求后等待完整响应的最长时间。这样就无需手动调整套件范围的超时。

• 性能改进

  • 我们改进了 Burp 的 OpenAPI 解析，使其能够成功处理更大的 YAML 定义文件。
• ​Burp Scanner 现在跳过了对静态资源上的 Cookie 和标头插入点的轻度审计，使审计能够更专注于查找关键问题。非静态资源和其他插入点不受影响。

• 用户体验改进

  • 在解析仅 API 扫描的 OpenAPI 定义时，Burp 不再在 Parameters（参数）选项卡中显示随机生成的值。但是，在扫描期间，仍会生成这些值，并使用 API 定义中未指定值的参数。
  • 我们通过将 API 密钥 和 自定义 方法合并到一个选项卡中来更新动态 API 身份验证。这允许您配置动态 API 密钥（包括检测到的密钥）以及自定义身份验证方法，并灵活地指定每个密钥在请求中的确切位置。

• 浏览器升级

  我们已经将 Burp 的浏览器升级到了 Chromium 131.0.6778.109（适用于 Windows 和 Mac）和 131.0.6778.108（适用于 Linux）。

下载地址

Burp Suite Professional 2024.12, 19 December 2024

• 下载地址：https://sysin.org/blog/burp-suite-pro/
• 更新说明（详见上述）：
  此版本引入了 Burp Intruder 捕获过滤器、Burp Collaborator 中 SMTP 消息的自动解码、改进的登录记录准确性以及许多其他改进。

for macOS：Burp Suite Professional 2024.12 for macOS x64 & ARM64 - 领先的 Web 渗透测试软件

for Windows：Burp Suite Professional 2024.12 for Windows x64 - 领先的 Web 渗透测试软件

更多：HTTP 协议与安全