BurpSuite 2021.8破解版
BurpSuite2021.8版本发布于2021年8月5日,属于稳定版本,此版本为Burp的HTTP/2支持提供了一系列强大的新增强功能。这使您能够识别和利用许多HTTP/2专有漏洞,包括 James Kettle在Black Hat USA2021上提出的漏洞。它还实现了嵌入式浏览器的安全修复和记录登录序列的一些小错误修复。BurpSuite更新内容
控制单个请求的协议
在Burp Repeater和Proxy Intercept 中,您现在可以选择是使用 HTTP/1 还是 HTTP/2发送每个请求。当您切换协议时,Burp 会在幕后自动执行必要的转换,以生成适合新协议的等效请求。例如,HTTP/1请求行被映射到 HTTP/2:method和:path伪标头。
这使您能够轻松升级和降级请求以试验特定于协议的漏洞。
测试 HTTP/2 独有的漏洞
我们很高兴地宣布Burp Suite 专业版和社区版现在为查看和操作 HTTP/2 请求提供本机支持。
除了您可以在消息编辑器中看到的 HTTP/1 样式的请求表示之外,Inspector 现在还允许您以更类似于将发送到服务器。由于此视图不依赖于 HTTP/1 语法,因此您可以使用许多在 HTTP/1 中无法重现的 HTTP/2 专有向量来构建攻击。这让您有机会探索一个全新的攻击面,由于到目前为止完全缺乏任何合适的工具,该攻击面几乎没有经过审核。
有关可能发生的一些现实示例,请查看 James Kettle 最新研究的白皮书HTTP/2:续集总是更糟,他最近在 Black Hat USA 2021 上介绍了该白皮书。
Burp 的消息编辑器仍然允许您使用 HTTP/1 样式的请求表示,并将其转换为等效的 HTTP/2 请求。这对于在您使用的协议不重要的情况下执行一般测试非常有用。
有关这些功能的更多信息、配置选项以及一些 HTTP/2 基础知识的细分,请参阅随附的文档
新的HTTP/2扫描检查
除了新的手动 HTTP/2 工具之外,此版本还为Burp Scanner添加了一些特定于 HTTP/2 的改进:
两种新的 HTTP/2 专有方法,用于混淆HTTP 请求走私的传输编码标头。
一种新的HTTP/2 请求隧道检测方法。
对“隐藏”HTTP/2 支持的新扫描检查。扫描器现在可以检测服务器何时支持 HTTP/2,但不会在 TLS 握手期间在 ALPN 中公布这一点。
我们还改进了 HTTP 请求走私的问题详细信息,以便在服务器端对策限制对请求隧道的影响时进行标记。
这些增强功能也是基于James 的研究。
嵌入式浏览器安全修复
我们已更新 Burp Suite 的嵌入式浏览器,以修复 Burp Suite 中基于点击劫持的远程代码执行错误,正如@mattaustin和@DanAmodio向我们的错误赏金计划报告的那样。我们已经更新到 Chromium 92.0.4515.131,它修复了 Google 归类为高的几个错误
Bug修复
此版本修复了几个错误,应该提高记录登录播放的可靠性。
下载地址:
链接: https://pan.baidu.com/s/1gw1TdcyN9qz8RMpFt93qwQ
提取码: **** Hidden Message *****
爱了爱了 这是个好东西。 谢谢分享 让我看看这提取码 大佬牛逼。 之前有个比较老的版本的,看到这个眼前一亮 谢谢分享
瞅一眼顶顶顶 我想要这个