Burp Suite Pro 2024.9.3 for windows ARM64 正式版历史版本

Burp Suite是一款由PortSwigger公司开发的专业的网络安全测试工具，旨在帮助安全专业人员评估Web应用程序的安全性。它集成了多种功能强大的模块，如Proxy（代理）、Scanner（扫描器）、Spider（爬虫）、Intruder（入侵者）、Repeater（中继器）、Sequencer（会话）、Decoder（解码器）、Comparer（对比器）等，为用户提供了一个全面的Web应用安全测试平台。

Burp Suite提供了从基本的HTTP请求拦截和修改，到高级的漏洞扫描和自动化攻击等多种功能。用户可以通过Burp Suite轻松地对Web应用程序进行安全测试，发现潜在的安全漏洞，并评估其安全性。

Proxy（代理）：

拦截HTTP/HTTPS请求的代理服务器，作为浏览器与服务器之间的中间人，允许用户拦截、查看和修改在两个方向上的原始数据流。

支持自动URL编码、历史抓包记录查看编辑、匹配与替换规则等功能，方便用户进行精细化的流量分析和修改。

Scanner（扫描器）：

自动检测Web应用程序中的安全漏洞，如SQL注入、跨站脚本（XSS）等。

用户可以自定义扫描策略，选择不同的扫描技术和策略，以适应不同的测试场景和需求。

扫描结果详细，包括漏洞类型、描述、影响范围等信息，帮助用户快速定位问题。

Spider（爬虫）：

应用智能感应的网络爬虫，能够自动发现和分析Web应用程序中的链接和内容。

爬虫功能强大，能够遍历整个网站，发现隐藏的接口和漏洞。

Intruder（入侵者）：

一个定制的高度可配置的工具，用于对Web应用程序进行自动化攻击。

支持多种攻击类型，如Sniper（狙击手）、Battering ram（攻城锤）、Pitchfork（草叉）和Cluster bomb（集束炸弹）等。

用户可以自定义Payload（有效负载），进行复杂的攻击测试。

Repeater（中继器）：

一个手动操作工具，用于触发单独的HTTP请求，并分析应用程序的响应。

支持重放数据包，方便用户进行深入的请求分析和响应验证。

Sequencer（会话）：

用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

帮助用户评估会话令牌的安全性，防止会话劫持等攻击。

Decoder（解码器）：

手动执行或对应用程序数据进行智能解码编码的工具。

支持多种编码格式，方便用户进行数据的解码和编码操作。

Comparer（对比器）：

通过比较两个请求包或响应包的差异，帮助用户快速定位变化点。

适用于分析应用程序在不同条件下的行为差异。

Extender（扩展）：

允许用户加载Burp Suite的扩展，使用自己的或第三方代码来扩展Burp Suite的功能。

提供了丰富的API和插件接口，方便用户进行自定义开发。

其他功能：

支持多种浏览器和操作系统的集成，方便用户在不同环境下进行测试。

提供了详细的日志和警报功能，帮助用户跟踪测试过程和发现潜在问题。

Burp Suite Professional版本还提供了更多的可定制选项和高级功能，如自定义扫描模板、更强大的Payload处理等。

2024.9.3 版本更新说明：

本次发布为 Burp Intruder、自定义 Bambda HTTP 匹配和替换规则以及 SOAP 端点扫描支持带来了重大改进。我们还进行了其他改进和 Bug 修复。

Burp Intruder 的改进布局

我们对 Burp Intruder 进行了重大升级。现在，您可以通过一个新的侧边栏查看和编辑攻击配置，而不需要使用旧的子标签页。改进后的布局使您可以更快、更高效地编辑负载位置、负载和攻击设置，而无需频繁切换标签页。

使用 Bambda 的 HTTP 匹配和替换规则

我们引入了一项新功能，允许您使用 Bambda 创建 HTTP 匹配和替换规则。这使得您可以更灵活、更轻松地处理复杂或批量更改。例如，您可以使用匹配和替换 Bambda 更容易地删除大量头部，或者智能地修改响应 JSON 数据，从而简化客户端测试。

请注意，此功能仅在 Burp Suite Professional 中可用。

SOAP API 扫描

Burp Scanner 现在支持扫描 SOAP API，为您提供更广泛的基于 SOAP 协议的 Web 服务安全覆盖。

自动 SOAP API 检测：在 Web 应用程序扫描期间，如果扫描器检测到任何 SOAP API，它会自动将其包含在爬虫和审计中。
专用 SOAP API 扫描：您还可以运行独立的 SOAP API 扫描，以在需要时集中测试工作。

请注意，此功能目前仅在 Burp Suite Professional 中可用。

质量改进

我们进行了以下质量改进：

添加了“最后访问”列：在启动向导的“打开现有项目”表中添加了“最后访问”列，这意味着您现在可以根据最后一次打开的日期对项目文件进行排序。
改进了 Burp Scanner 处理图像、脚本和样式表的方式：浏览器在扫描期间一直请求这些资源，但只有部分请求（如 API 调用）被审计。现在，所有请求，包括静态资源（如图像和脚本），都会被发送进行审计。这提供了更广泛的覆盖范围，并确保爬虫路径准确反映扫描期间加载的所有内容。

Chromium 与 Amazon Linux 2 的兼容性问题

在版本 2024.6.4 中，我们将 Burp 的内置浏览器升级为 Linux 版本的 Chromium 127.0.6533.72，这导致了与 Amazon Linux 2 的兼容性问题。此问题在所有后续版本的 Chromium 中仍然存在，意味着 Burp 的内置浏览器在该操作系统上无法使用。

我们建议用户不要在 Amazon Linux 2 上使用 Burp 2024.6.4 或更高版本进行扫描。

Bug 修复

我们修复了以下 Bug：

修复了导入包含 Repeater 标签的项目有时失败的问题。
修复了 API 解析器错误地将 YAML 文件识别为 JSON 的问题。
修复了阻止从 Burp Intruder 的负载处理表中删除规则的 Bug。
现在可以在 Intruder Payloads 面板中关闭空状态，允许您在不配置负载位置的情况下使用 Null 负载类型。这使您可以执行拒绝服务攻击。
修复了项目文件有时错误地保存到工作目录的问题。现在，如果项目之前保存到了特定文件夹且该文件夹仍可访问，则项目将默认保存到该文件夹。否则，项目将保存到用户主目录中。

Java 更新

我们将 Java 从 21.0.4 更新到 22.0.2。

浏览器升级

我们将 Burp 的浏览器升级为 Windows 和 Mac 版本的 Chromium 130.0.6723.59 以及 Linux 版本的 Chromium 130.0.6723.58。