该版本添加了各种新功能,并解决了一些问题。

有一个新的扫描器检查可疑输入转换。当应用程序接收用户输入,以某种方式进行转换,然后对结果进行进一步处理时,就会出现此问题。BURP报告反映并存储了以下方式转换的输入:

  • 横长的UTF-8序列被解码。
  • 包含非法延续字节的无效UTF-8序列被解码。
  • 多余(或“双”)URL编码序列被解码。
  • HTML编码的序列被解码。
  • 后斜线逃脱序列是不渗透的。
  • 提交上述任何有效载荷产生的意外转换。

执行这些输入转换本身并不构成脆弱性,而是可能导致与其他应用程序行为结合的问题。如果输入过滤器应用后,攻击者可能能够通过适当地编码其有效载荷来绕过输入过滤器。或者,攻击者可能能够通过与多字符编码或逃生序列的开始来完成输入的其他数据,这些数据将消耗以下数据的启动。

已经进行了各种增强Burp渗透器,回应现实世界中的反馈:

  • 在Java 6或更早之前运行时影响补丁程序的错误已修复。
  • 导致某些嵌套JAR文件的清单文件丢失的错误已修复。
  • 修改了相关字节码后,已固定无效签名的错误已修复

bepaly下载 现在的问题已经映射到CWE漏洞

有一个新的命令行选项为了防止在重新开放现有项目时暂停蜘蛛和扫描仪。为了防止这种情况,请将以下参数添加到命令中以启动Burp:

- unpause-spider and-scanner

其他增强和错误已经制作了。