Burp Suite Professional 2025.3 发布,引入 Burp AI 通过人工智能增强安全测试工作流程
Burp Suite Professional 2025.3 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
Burp Suite Professional, Test, find, and exploit vulnerabilities
请访问原文链接:https://sysin.org/blog/burp-suite-pro/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
Burp Suite Professional,更快、更可靠的安全测试,领先的 Web 安全测试工具包。
Burp Suite Pro 简介
Burp Suite Professional 是一套用于测试 web 安全性的高级工具集 —- 所有这些都在一个产品中。从一个基本的拦截代理到尖端的 Burp 扫描器,使用 Burp Suite Pro,正确的工具只需点击一下就可以了。
我们强大的自动化让您有更多的机会做您最擅长的 (sysin),而 Burp Suite 处理容易实现的目标。先进的手动工具将帮助你识别目标更微妙的盲点。
Burp Suite Pro 是由一个研究团队开发的。这意味着在我们发布之前,发现成果已经包含在我们的最新更新中。我们的 pentesting 工具将使您的工作更快,同时让您了解最新的攻击向量。
新增功能
*Burp Suite 2025.3, 2025-04-01
此版本引入了 Burp AI,这是一套强大的人工智能功能,旨在增强您的安全测试工作流程。我们通过配置扫描的审计阶段与爬取阶段并行运行,提高了 Burp Scanner 的效率。我们还更新了 BApp Store,增强了 Montoya API,并为 Burp Repeater 添加了用于数据提取和分析的自定义操作。
Burp 中的新 AI 功能
Burp 的新 AI 功能增强了您的测试工作流程,帮助您节省手动任务的时间,更快地理解复杂问题,并将精力集中在最重要的地方。
Burp AI 现在包括以下功能:
- 探索漏洞(Explore Issue)
自主调查由 Burp Scanner 识别的漏洞,为您节省时间和精力。Explore Issue 像人类渗透测试人员一样跟进——尝试利用漏洞、识别额外的攻击向量,并总结结果,以便您可以更高效地验证和展示影响。 - 解释器(Explainer)
帮助您快速理解不熟悉的技术,而无需离开 Burp Suite。只需高亮显示 Repeater 消息中的任何部分并点击按钮,即可获得 AI 生成的解释。 - 减少访问控制漏洞误报(Broken Access Control False Positive Reduction)
Burp 通过智能过滤掉结果中的误报,增强了对访问控制漏洞的扫描检查,让您专注于真正的威胁。 - AI 驱动的登录录制(AI-powered Recorded Logins)
配置 Web 应用程序的身份验证可能既耗时又容易出错。Burp 可以使用 AI 自动生成登录序列,节省时间并减少人为错误的风险。
作为这些变化的一部分,我们更新了数据处理协议以涵盖新的 AI 服务提供商流程。当您更新到 Burp 的新版本时,需要接受新的最终用户许可协议(EULA)。
注意:AI 功能目前仅在 Burp Suite Professional 中可用。
扫描期间爬取和审计现在并行运行
Burp Scanner 现在会在爬取过程中一旦识别出第一个审计项时立即开始审计。随着更多项被发现,Burp 会持续重新优先排序审计队列,以确保最有价值的项优先被审计。
这提高了扫描效率,并能够在更大或更复杂的应用程序中更早检测问题。
自定义操作
我们为 Burp Repeater 添加了自定义操作。这些是您可以应用于 HTTP 消息的任务,用于提取和分析数据。它们由 Bambdas 提供支持,Bambdas 是可以直接从 Burp Suite 界面运行的代码片段。
您可以将自定义操作用于多种用途,例如:
- 分析响应
提取数据、计数元素、解码和编码消息内容,并检查特定内容。 - 检索额外数据
执行查找、解析主机名以及获取外部数据。 - 重发请求
修改标头、参数或正文内容并重新发送请求。
要开始使用自定义操作,请尝试我们的示例 Bambdas。加载这些示例,请在 Repeater 的空白 “自定义操作” 侧边栏中点击 “添加示例”。
注意:自定义操作目前仅在 Burp Suite Professional 中可用。
BApp Store UI 更新
我们更新了 BApp Store 用户界面,使其更容易查找、安装和管理扩展。
为了帮助您找到有用的扩展,您现在可以按以下类别筛选 BApp Store:
- 推荐(Featured)
我们推荐的扩展,提供突出的功能,我们认为特别有趣。 - 最近更新(Recently Updated)
过去三个月内新增或更新的扩展。 - PortSwigger 创建(PortSwigger Created)
由 PortSwigger 团队开发的扩展。
我们还添加了自定义表格视图的选项,以便您可以专注于最重要的细节。
要试用此功能,请前往 Extensions > BApp Store。
Montoya API 更新以支持编写 Bambdas 和扩展
我们对 Montoya API 进行了以下更新,改进了对编写扩展和 Bambdas 的支持:
- 我们改进了对 JSON 处理的支持。您现在可以添加、删除和更新 JSON 参数。以前,这些操作可能会静默失败或导致异常。
- 您现在可以复制消息编辑器的 URL 编码选项,从而更好地控制 URL 编码行为。
- 扩展现在可以为 HTTP 消息编辑器注册自定义快捷键。这使得直接从编辑器触发扩展操作更加方便。如果某个快捷键已在
Extensions > User Interface > Hotkeys中指定,错误控制台将记录冲突。 - 您现在可以使用 Montoya API 中的
requestMarkers()检索 Intruder 的有效载荷位置。这为扩展提供了访问这些位置的方式,而之前这些位置是通过§载荷标记定义的。§标记现在仅用于视觉表示。 - 您现在可以在 Repeater 标签页上设置备注。这使扩展可以通过上下文菜单甚至自定义操作添加备注。
Burp 中的键盘导航
您现在可以使用键盘上的 Tab 键导航到 Burp 的大部分区域。这为喜欢键盘导航的用户简化了工作流程。
Bug 修复
我们修复了以下 Bug:
- 修复了使用数字类型有效载荷的 Intruder 攻击中的一个 Bug。以前,如果只设置了
From值,Intruder 总是发送0作为有效载荷。 - 修复了一个阻止请求出现在 Organizer 中的 Bug,该请求是从 Logger 发送的。
- 修复了一个阻止扩展在某些上下文中检索备注的 Bug。
- 修复了一个阻止扩展在 Repeater 标签页上设置备注的 Bug。
浏览器更新
我们已将 Burp 的浏览器升级到:
- Windows: Chromium 134.0.6998.178
- Mac: Chromium 134.0.6998.166
- Linux: Chromium 134.0.6998.165
欲了解更多信息,请参阅 Chrome 开发者发布说明。
系统要求
推荐的系统版本:
macOS
Linux
Windows
下载地址
Burp Suite Professional 2025.3, 01 April 2025
| Architectures/Description | File name (Professional) |
|---|---|
| Apple Intel x86 Installer | burpsuite_pro_macos_x64_v2025_3.dmg |
| Apple ARM64/M Chips Installer | burpsuite_pro_macos_arm64_v2025_3.dmg |
| Linux x64 Installer | burpsuite_pro_linux_v2025_3.sh |
| Linux ARM64 Installer | burpsuite_pro_linux_arm64_v2025_3.sh |
| Windows x64 Installer | burpsuite_pro_windows-x64_v2025_3.exe |
| Windows ARM64 Installer | burpsuite_pro_windows-arm64_v2025_3.exe |
for macOS:Burp Suite Professional 2025.3 for macOS x64 & ARM64 - 领先的 Web 渗透测试软件
for Windows:Burp Suite Professional 2025.3 for Windows x64 - 领先的 Web 渗透测试软件
更多:HTTP 协议与安全
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。