burpsuit2.0 新功能 TOP导航功能

burp菜单



search #根据请求或响应搜索，感觉类似找注入order参数sql注入这些自己的经验，在repeater里面试有帮助

case sensitive	区分大小写
ln-scope only	只有加入scope里面的
Regex	正则匹配
Dynamic update	动态有参数的request（不包括静态文件）
Negative match	否定排除（排查正则匹配）

Configuration library #配置库，配置库包含Built-in （内置的）、Custom （自定义的）默认只有内置的

Duplicate	复制一份配置
Import、Export	导入导出配置
live passive crawling	实时被动爬虫
Auditing	审计（检查漏洞）

User options #重置、导入、保存当前burp的配置选项

Burp Infiltrator #用于检测目标Web应用程序的里面的http、https协议，以便于使用Burp Scanner进行测试。https://portswigger.net/burp/documentation/infiltrator
一般用于测试环境。

Burp Clickbandit #用于生成点击劫持的POC



点 "Copy Clickbandit to clipboard" 复制出代码，生产点击劫持代码，在浏览器里点开发者调试器console粘贴代码后点回车，如下：



sandbox iframe 沙盒：https://blog.csdn.net/rth362147773/article/details/55670035
Disable click actions #隐藏点击动作
需要点start后，在页面任意位置点击会记录下点击的轨迹，点完后再点Finish后就可以生成poc文件了。



点save就可以保存poc.html查看刚刚的点击轨迹了，验证了点击劫持漏洞。

Burp Collaborator Client #burp 自带的log接口payload，支持dnslog、httplog等，第一个参数是接口数量，第二个是返回的时间



Project菜单



Project options #重置为默认的项目选项、导入和保存项目选项
Rename #重命名项目名称
save copy #复制保存项目
后面2个是导入项目信息，第一个带漏洞标识，后面哪个不带。

Intruder #和以前没变化，基本的配置、使用等
Repeater #和以前没变化，基本的配置、使用等

window #弹出窗口该模块