更新内容
此版本引入了特定的API 扫描功能,并将 Bambdas 合并到 Logger 捕获过滤器中。我们还改进了 DOM Invader 和 Burp Suite 导航记录器的功能,并进行了许多其他改进和错误修复。
API扫描
我们引入了特定的 API 扫描功能。您现在可以上传 OpenAPI 定义 (v3.0.x) 以进行 API 扫描。特别是,您可以从本地文件上传API 定义。这使您能够启动 API 扫描,而无需将定义托管在 Web 服务器上。您还可以查看和配置将扫描的 API 端点,以提高对扫描的可见性和控制力。将来,我们计划添加更多功能,包括端点身份验证处理。关注此空间!
要启动 API 扫描,请单击仪表板上的新建扫描 > API 扫描。要了解有关如何运行 API 扫描的更多信息,请参阅扫描 API。
使用 Bambdas 对 Logger 捕获过滤器进行高级过滤
我们正在将 Bambdas 引入 Burp Suite 的更多领域。这些基于 Java 的代码片段使您能够直接从 UI 自定义 Burp。
此版本将 Bambdas 引入 Logger 捕获过滤器。这使您能够自定义 Logger 以准确捕获您需要的内容,从而帮助您通过过滤掉不必要的流量来集中分析。
要了解有关 Burp 中 Bambdas 的更多信息,请参阅Bambdas。
新扫描检查:CSP漏洞
我们添加了新的被动扫描检查,可识别内容安全策略(CSP) 漏洞。Burp Scanner现在可以识别不安全的脚本权限、点击劫持、表单劫持和不正确的 CSP 语法等问题。
Burp Suite 导航记录器的改进
我们修复了 Burp Suite 导航记录器中的一些小错误:
我们删除了导致某些网站出现错误的影子 DOM 元素的检测。
我们修复了在隐身模式下记录非隐身窗口的错误。
我们引入了一种更可靠的 URL 检索方法来修复报告的 URL 有时不正确的错误。
我们修复了 XPath 生成有时会错误生成的错误,导致 Burp 重放失败。