随着2022年正在进行,现在是时候给您最新的关于Burp Suite今年前往的地方。在这里,我们查看我们将在2022年将努力的强大新的Burp Suite功能,并为您更新我们在2021年添加的内容。
Burp Suite Enterprise Edition
Burp Suite Enterprise Edition现在已被800个组织使用动态(dast)直接扫描他们的网络庄园。beplay体育能用吗在2022年,新功能将使客户更容易在企业环境中部署,提供丰富的报告和控制扫描。
完毕打bur的扩展-2021.8版本增加了对Burp扩展的支持Burp Suite Enterprise Edition。这包括自定义扩展以及许多BAPP。
完毕批量操作-2021.11和2021.12释放了对UI中批量操作的支持。这使您可以添加站点,移动和删除站点和文件夹,启动快速扫描,取消或删除扫描 - 全部批量。
完毕单登录-2021.11发布增加了对SCIM的支持,以简化中央身份提供商的提供和退役用户和组的过程。这已经通过Okta和Onelogin进行了全面测试。
完毕问题跟踪集成-2021.11和2021.12使用Slack,Trello和Gitlab增加了对问题跟踪集成的支持。
WIP合规报告- 正在为针对合规框架(包括PCI和OWASP TOP 10)提供扫描结果的报告,从而增加了对扫描结果的支持。
WIP弹性部署- 在许多云友好的功能上进行的工作正在进行中,包括自动缩放资源以支持扫描工作负载以及每小时计费。这项工作将包括简化我们现有的云部署选项。
WIP仪表板- 根据您的反馈,正在为Burp Suite Enterprise Edition UI添加许多新的仪表板的工作正在进行中。此功能还将增加创建自定义仪表板的能力。
WIP与GitHub的问题跟踪- 在将GitHub问题跟踪与Burp Suite Enterprise Edition集成,与其他系统的现有集成一起进行工作。
添加重播记录的登录序列- 我们将使您可以查看记录的登录(身份验证的扫描)序列在扫描过程中执行,因此您可以测试它们正在工作。
添加部署容器化- 我们将通过基于Docker和Virtual Machines(VMS)的使用来简化Burp Suite Enterprise Edition的部署。
添加文件夹级配置- 我们将使您能够在UI中作为批量操作在文件夹级别进行许多配置更改。这将是重新配置特定文件夹中所有站点的快速方法 - 包括扫描配置,代理池和所使用的任何扩展名。
请注意,下面描述的BURP扫描仪路线图也适用于Burp Suite Enterprise Edition。
Burp Suite专业人士
我们致力于维护Burp Suite Pro作为Web安全测试的世界领先工具包。beplay体育能用吗在接下来的12个月中,我们将发布新功能和更新,以进一步改善Burp Suite Pro的用户体验,以及它可以帮助您更快地找到更多漏洞的能力。
完毕http/2-2021.8版本为HTTP消息检查员和Burp Extender API添加了新功能。这些更改使您能够进行HTTP/2特定的攻击,如James Kettle的Black Hat USA 2021演示文稿所示http/2:续集总是更糟。
完毕打击者-2021.5、2021.9和2021.12版本根据您的反馈对BURP入侵者进行了许多增强。更改包括新的攻击类型,有效负载的选项,对攻击结果的更丰富分析以及数据的逐步节省。
WIP消息检查员- 基于您的反馈,正在进行有关HTTP消息检查器可用性的各种改进的工作。
WIP绩效改进- 在提高各种BURP功能的记忆和处理效率方面的工作正在进行中,并提供有关可能损害性能的渴望资源的反馈。
添加新的API和多语言可扩展性- 我们将完全改写Burp Suite的可扩展性框架。这项修订将支持在Java,JavaScript和Python 3中撰写的Burp扩展,并将为未来的能力奠定基础。
添加改善了用户体验- 根据您的反馈,我们将进行许多更改,以改善您在Burp Suite Professional中的体验。这些更改将包括用于自定义BURP的用户界面和布局的新选项。
请注意,下面描述的BURP扫描仪路线图也适用于Burp Suite Professional。
打扫扫描仪
我们将继续大量投资打扫扫描仪- 确保在使用Burp Suite Enterprise Edition和Burp Suite Professional时,确保您拥有一流的扫描范围和性能。
在接下来的12个月中,我们将专注于增强BURP扫描仪的导航和扫描现代Web应用程序的能力,例如SPA(单页应用程序),微调其班级领先的性能,并添加扫描检查以了解新颖漏洞。beplay体育能用吗
完毕http/2-2021.8版本添加了扫描检查,以了解许多新类别的HTTP/2特异性漏洞。有关更多信息,请参阅James Kettle的Black Hat USA 2021演示文稿,http/2:续集总是更糟。
完毕服务器端模板注入- 2021.9版本添加了扫描检查对许多模板发动机的注射检查,并增加了Oast使用BURP合作者检测方法。
完毕数据格式的有效载荷-2021.9释放改进了JSON和XML数据结构中扫描有效载荷的放置和编码。
WIP扫描速度-2021.7.1使用默认设置发布优化的扫描性能,以在不损害覆盖范围的情况下更快地进行扫描。正在进行的工作以进一步改进这一领域。
WIP审核异步流量-2021.9发行版引入了由爬网触发的API调用的审核,与页面元素相互作用,但是正在进行工作以进一步提高此功能。这将进一步增加单页应用程序(SPA)的覆盖范围。
添加改进了流行的JavaScript库和框架的覆盖范围- 当使用React和AngularJS构建的扫描站点时,我们将微调扫描仪以优化其性能。
添加支持记录的登录序列中的弹出窗口- 当使用Burp Scanner的录制登录(身份验证扫描)功能时,我们将添加对弹出页面元素的支持。
添加JWT扫描检查- 我们将使Burp扫描仪能够检查与JSON Web令牌(JWT)有关的许多安全漏洞。beplay体育能用吗
请注意,Burp Suite Enterprise Edition和Burp Suite Professional都包含BURP扫描仪,并将从其路线图中受益。
