已解决了许多错误:
- 一个错误,阻止BURP在通过HTTPS进行轮询时验证协作者服务器证书的通用名称。该错误的影响是,如果攻击者在托管协作服务器的网络中执行了活动的MITM攻击,那么他们将能够将交互数据与投票客户端相关联。这通常不足以推断特定的漏洞。(请注意,对于与BURP用户在同一网络上的攻击者,影响较低,因为攻击者已经可以查看所有流量与应用程序的所有流量并将请求与结果的协作者交互关联。)
- 一个可能导致HTTP基本身份验证凭证在遵循重定向时泄漏到另一个域的错误。此错误的影响是,如果用户配置了域A的HTTP基本身份验证,则执行域A的扫描,域A将重定向到域B,并且用户已将域B包括在其目标范围内,则将泄漏凭据。如果用户手动跟随使用Burp Repeater手动重定向到恶意域,则可能会发生同样的泄漏。
- 一个可能允许活动的MITM攻击者在BAPP存储选项卡中欺骗文本内容并更新对话框的错误。请注意,代码签名可防止MITM攻击者操纵BAPP或更新的实际安装。
- Burp项目修复功能中的一些错误导致一些实际可回收的数据丢失。
- 一个阻止自动完成弹出窗口关闭某些Linux窗口管理器上的错误。
- 一个阻止临时项目在同一BURP会议中不止一次保存为基于磁盘的项目的错误。
- 一个阻止MacOS应用程序午睡的错误,结果是当Burp在后台运行时,自动活动会减慢。
- 一个错误,阻止代理正确地递给请求URL域名中使用字面IPv6地址的请求。
已经进行了以下增强:
- Burp ClickBandit已更新以支持沙盒iframes。
- 在更改Jruby 9.2.0.0之后,已应用了修复程序,该修复程序阻止了Ruby中写的Burp扩展。
请注意,通过我们的某些安全问题报告了错误赏金程序,它慷慨地为大小的错误支付。谢谢布鲁诺·莫里森(Bruno Morisson)和Juho Nurminen。