BurpSuite简介：

Burp Suite Professional 作为全球领先的应用安全测试工具，被超过 50,000 名渗透测试人员和漏洞赏金猎人使用，以更快地发现更多漏洞。使用它来自动执行重复性测试任务 - 然后使用其专家设计的手动和半自动安全测试工具进行更深入的挖掘。Burp Suite Professional 可以帮助您测试 OWASP Top 10 漏洞以及最新的漏洞。也是安全工程师必备的工具之一。

download: https://portswigger.net/burp/releases/professional-community-2021-9

此版本支持手动测试隐藏的 HTTP/2 攻击面，并为 Burp Intruder 和Burp Scanner添加了许多改进。

在 Burp Repeater 中手动测试隐藏的 HTTP/2 攻击面

即使服务器没有通过 ALPN 明确宣传 HTTP/2 支持，您现在也可以从 Burp Repeater 发送 HTTP/2 请求。这允许您手动探索其他“隐藏的”HTTP/2 攻击面。

要启用此行为，首先从中继器菜单中选择允许 HTTP/2 ALPN 覆盖选项，然后从检查器面板将协议切换到 HTTP/2。

Burp Intruder 改进

我们对 Burp Intruder 进行了以下改进：

• 在配置要在攻击期间发送的有效负载列表时，您现在可以单击重复数据删除按钮删除任何重复条目。这有助于提高攻击效率，因为您可以避免在组合多个单词列表时发送冗余的重复请求。
• 当使用Grep - Match或Grep - Payloads选项时，结果表现在包含一列，显示在响应中找到的匹配数，而不仅仅是一个复选框。
• 在资源池配置中，现在有一个选项可以将请求之间的延迟设置为增量值。这使您能够研究目标应用程序的行为如何随着请求变得更加分散而发生变化。例如，您可以使用它来确定会话在请求之间保持活动状态的时间。
• 您现在可以选择多行并对 Intruder 配置设置中的某些表执行批量操作。

改进了服务器端模板注入的扫描检查

我们在服务器端模板注入 (SSTI) 扫描检查中添加了有效负载，以检测以下基于 Java 的模板引擎中的漏洞：

• 斯皮尔
• JSF
• 自由标记
• 百里香叶
• 速度
• JSTL

我们还使用 Burp Collaborator 集成了额外的带外检测方法。

在 Burp Scanner 中审计异步流量

由爬虫与页面元素交互触发的 API 调用现在将被发送以供审核。

我们还改进了爬虫与页面上的表单交互的方式，以更好地支持现代单页应用程序。

改进了 Burp Scanner 中 XML 和 JSON 插入点的处理

我们进行了以下更改以改进扫描期间对 XML 和 JSON 插入点的处理：

• 注入未加引号的 JSON 上下文中的有效负载现在会自动用引号括起来，以确保 Burp Scanner 始终生成有效的 JSON 文档。
• 标准 XML 属性中的插入点，例如xml:lang和xmlns:*现在默认被忽略。如果您愿意，您可以在审核选项 > 忽略的插入点下的扫描配置中覆盖此设置。
• 将有效负载附加到 XML CDATA 部分中的插入点时，Burp Scanner 现在会删除 CDATA 块并正确地对有效负载进行实体编码。

记录登录改进

Burp Scanner 现在可以在记录的登录序列中处理 iframe、多选、滚动元素和 SVG 元素。我们还通过改变我们在页面上定位和交互元素的方式来提高可靠性。

其他改进

• 在Logger选项卡上，我们在上下文菜单中添加了一个选项，用于将日志导出为 CSV 文件。
• 在仪表板选项卡上，您现在可以重命名任务以帮助您更轻松地识别它们。您现在还可以按名称或其他详细信息搜索任务。
• 您现在可以设置启动 Burp 时是恢复还是暂停任务的默认首选项。要更改默认设置，请转到用户选项 > 其他 > 任务。

社区版功能有限，建议大家也购买正式版。

https://portswigger.net/