1.有一个新的CSRF.发电机,它产生概念验证HTML,用于生成几乎任何HTTP请求。您可以通过右键单击Burp中的任何项目,并使用“参与工具上下文”菜单选择“生成CSRF PoC”来访问此功能:
一些有用的功能是:
支持所有表单编码类型:标准URL编码,多级编码和纯文本编码。
自动检测最佳编码类型,具有手动覆盖。
能够编辑请求和响应,到微调攻击。
在浏览器测试中,通过将URL粘贴到您的浏览器中,这将导致Burp代理以响应的响应提供CSRF PoC。
使用此功能,您甚至可以生成包含在消息主体中的完全任意内容的CSRF攻击,包括二进制数据,只要目标应用程序接受文本/普通编码。
你现在可以添加评论和突出显示在代理拦截窗口中显示的项目。这在手动逐步跨过应用程序时非常有用,允许您在制作时注释有趣的请求,然后在代理历史记录中返回这些历史记录以进行进一步调查:
3.站点分析仪功能(通过参与工具上下文菜单访问),现在有一个标签显示所有独特的参数找到,以及它们出现的URL数量。您可以深入了解使用给定参数的个人请求,允许您在测试大应用程序时快速关注有趣或不寻常的参数:
你现在可以将代理侦听器绑定到特定的IP地址,除了环回接口和所有接口之外:
5. Burp现在实施sslstrip.-Style功能,允许您对HTTPS应用程序使用非SSL功能的工具,或者对使用HTTP开始浏览的用户执行活动的MITM攻击:
即使传入的请求未使用HTTPS,您也可以强制Burp代理在传出请求中使用HTTPS。这是在请求重定向设置中配置的每个侦听器。
您可以配置Burp代理以将所有HTTPS链接转换为响应和重定向到使用HTTP。
您可以将Burp代理配置为删除设置Cookie上的安全标志,以便浏览器仍将在HTTP上提交它们。
6.会话处理规则和宏的配置UI现在包括“复制”按钮,允许您复制和修改现有规则或宏。