最新BurpSuite2022.8专业版

e75a770cf48f

更新说明

该版本引入了通过一次点击就能依次发送一组中继器标签中的所有请求的功能。它还更新了扫描器列出的外部服务交互(DNS)问题的严重程度,并提供了各种小的错误修复。

在Burp Repeater中发送一连串的请求

你现在可以将一组Repeater标签的请求作为一个自动序列发送。当你选择一组标签时,”发送 “按钮现在显示一个下拉菜单,你可以从中选择你的请求如何发送。你可以通过一个单一的连接发送所有的请求,或者为每个请求使用一个单独的连接。

图片[3]-最新BurpSuite2022.8专业破解版下载-FancyPig's blog

通过单个连接发送对于基于时间的攻击是有用的,这些攻击依赖于能够比较时间差异非常小的响应,因为它减少了建立TCP连接时可能出现的 “抖动”。

在测试需要执行多步骤序列的漏洞时,通过单独连接发送主要是有用的。

调整后的问题严重性 – 外部服务互动(DNS)。

Burp Scanner使用OAST技术,通过DNS pingbacks到Burp Collaborator识别关键漏洞。DNS互动本身和确定的漏洞都作为单独的问题报告。在某些情况下,例如在测试SSRF时,我们可能会诱导应用程序执行DNS查询,但这不会导致发现任何进一步的漏洞。为了更好地反映这后一种情况,我们调整了外部服务交互(DNS)问题的严重性。

我们以前把这个问题归类为高严重性问题,假设服务器可能发送了一个相应的HTTP请求,但随后被防火墙的出口过滤器阻断了。虽然我们无法从外部检测到这一点,但它仍然可以为针对内部网络的枢轴式攻击提供一个载体。

然而,我们越来越多地遇到这样的情况:系统在执行DNS查询时并不打算连接到远程主机,这意味着不存在HTTP请求。例如,这可能只是通过添加一个URL作为Java Map的键来触发的。

这种行为仍然可以表明一个严重的漏洞,值得进一步调查,但我们已经降低了报告的严重性,以反映典型的影响。

浏览器升级

我们把 Burp 的浏览器升级到了 Chromium 103.0.5060.134

错误修复

这个版本还提供了一些小的错误修复,包括。

你现在可以在 “创建新组 “对话框中使用shift-click来选择任何标签。以前,这个功能对预选的选项卡不起作用。
我们修正了一个问题,即如果你只在项目组中选择保存范围内的项目,而该组的一些标签是范围内的,一些不是,那么标签分组就会丢失。
我们更正了一个错误,即在某些情况下,Burp Scanner不能检测到有多个内容类型标题的回应的多个 Content-Type问题。
我们更正了一个错误,在这个错误中,如果扫描不能找到任何可到达的目的地,扫描就会在爬行阶段挂起。

工具下载

根据相关规定,本站不提供该工具下载方法。

温馨提示:一切未经授权的渗透测试行为均为违法行为。
© 版权声明
THE END
喜欢就支持一下吧
点赞9 分享