Burp AI takes on a vulnerable web app: watch Tib3rius put Burp’s new agentic capabilities to the test Tib3rius演示了Burp AI在测试易受攻击的Web应用时的自主能力，包括利用漏洞、标记误报及智能构造攻击。用户可通过自然语言提示实时指导AI行为。... 2025-10-22 12:59:5 | 阅读: 26 | 收藏 | PortSwigger Blog - portswigger.net burp agentic repeater positives coen

HTTP/1.1 must die: Dafydd Stuttard on what this means for enterprise security 文章指出HTTP/1.1存在严重安全漏洞,可能导致请求走私攻击,企业需淘汰旧协议,采用HTTP/2+并检查基础设施以防止大规模风险。... 2025-10-9 14:6:40 | 阅读: 31 | 收藏 | PortSwigger Blog - portswigger.net burp desync james security leaders

The future of pentesting is Human x AI, and it's already in Burp Suite Professional AI辅助渗透测试已成为现实，70%的研究人员使用AI工具提升效率，但仅12%认为AI能完全取代人类。自动化改变测试方式，但人类创造力仍至关重要。"Hackbots"擅长基础问题检测，复杂任务仍需人工干预。人机协作是最佳策略：AI提升效率，人类负责深度分析与创新。... 2025-10-7 13:17:41 | 阅读: 25 | 收藏 | PortSwigger Blog - portswigger.net burp hackerone humans assisted pentesters

Hacking smarter with Burp AI: NahamSec puts Burp AI to the test NahamSec演示了Burp AI的功能，包括分析请求、跟进扫描结果、提供上下文、生成登录序列和减少误报。所有功能按需使用，在安全环境中运行。... 2025-10-1 14:31:40 | 阅读: 22 | 收藏 | PortSwigger Blog - portswigger.net burp nahamsec logins repeater credits

Welcome to AI pentesting - add on-demand AI assistance directly to your workflow with new, agentic Burp AI capabilities PortSwigger推出Burp AI工具，助力安全测试人员高效完成渗透测试任务。该工具通过自然语言提示提供实时建议、自动化重复性操作并加速漏洞分析。用户可直接在Repeater中使用Burp AI，无需切换工具或流程。... 2025-9-24 14:17:34 | 阅读: 25 | 收藏 | PortSwigger Blog - portswigger.net burp security repetitive portswigger injection

How to join the desync endgame: Practical tips from pentester Tom Stacey Portswigger研究揭示HTTP/1.1固有安全缺陷，HTTP请求走私攻击仍具威胁。通过新型去同步漏洞类别攻击三大CDN，获35万美元赏金。研究强调需淘汰HTTP/1.1，呼吁渗透测试人员和赏金猎人加入"去同步游戏"。... 2025-9-18 15:51:39 | 阅读: 21 | 收藏 | PortSwigger Blog - portswigger.net desync endgame security

WebSocket Turbo Intruder: Unearthing the WebSocket Goldmine 文章介绍了WebSocket Turbo Intruder这一Burp Suite扩展工具，用于快速检测WebSocket协议中的安全漏洞如访问控制问题、竞态条件及SQL注入等，并支持自动化测试和多种高级功能如线程引擎和命令行接口。... 2025-9-17 12:40:6 | 阅读: 23 | 收藏 | PortSwigger Research - portswigger.net turbo intruder burp outgoing

How this seasoned bug bounty hunter combines Burp Suite and HackerOne to uncover high-impact vulnerabilities 独立安全研究员Arman利用Burp Suite Professional和HackerOne合作发现高价值漏洞并赚取赏金。... 2025-9-12 12:21:38 | 阅读: 28 | 收藏 | PortSwigger Blog - portswigger.net burp hackerone arman security portswigger

Watch the webinar: Scale secure coverage without scaling headcount 随着应用规模扩大和发布速度加快，AppSec团队面临巨大压力。Burp Suite DAST凭借强大的扫描引擎和灵活部署能力，帮助企业在不牺牲灵活性的情况下实现高效安全测试，并与现有工具无缝集成。... 2025-9-4 14:21:0 | 阅读: 23 | 收藏 | PortSwigger Blog - portswigger.net burp security dast workflows appsec

Cookie Chaos: How to bypass __Host and __Secure cookie prefixes 文章探讨了浏览器和服务器在处理Cookie时的逻辑差异如何被用于绕过安全机制。通过利用Unicode空格字符或旧版解析方式，攻击者可伪装受限Cookie名称（如__Host-），使其在浏览器中被视为普通值但在服务器端被识别为受保护类型。这种差异可能导致高权限Cookie被注入或覆盖，威胁会话安全。... 2025-9-3 14:46:23 | 阅读: 27 | 收藏 | PortSwigger Research - portswigger.net whitespace django attacker security interpreted

The year so far: How Burp Suite DAST is leveling up enterprise security in 2025 Burp Suite DAST在2025年上半年进行了多项改进，包括自动化扫描管理、增强API测试能力、提升扫描速度和覆盖率、优化与Jira的集成以及提供灵活的部署选项，帮助企业提升安全成熟度。... 2025-8-28 12:7:45 | 阅读: 22 | 收藏 | PortSwigger Blog - portswigger.net dast security burp onboarding enhanced

"The entire internet is broken": ethical hacking expert John Hammond meets James Kettle 两位安全专家揭示了 HTTP/1.1 的固有漏洞，导致数千万网站易受攻击。他们展示了新的 HTTP 失步攻击，并强调转向 HTTP/2 的重要性以消除此类威胁。... 2025-8-27 09:11:17 | 阅读: 54 | 收藏 | PortSwigger Blog - portswigger.net james security upstream desync tens

Inline Style Exfiltration: leaking data with chained CSS conditionals 文章介绍了一种利用CSS的attr()、image-set()和if语句通过内联样式窃取属性数据的方法。该技术无需导入外部样式表即可实现跨域请求，并可用于窃取简单数据如用户ID或用户名，在Chromium浏览器中有效。... 2025-8-26 12:54:3 | 阅读: 19 | 收藏 | PortSwigger Research - portswigger.net portswigger stylesheet styles username slonser

Beware the false false-positive: how to distinguish HTTP pipelining from request smuggling 文章探讨了HTTP请求走私与连接复用（如keep-alive或pipelining）的区别，指出前者通常为误报但有时确实存在漏洞。作者分析了连接复用的常见场景及其对测试的影响，并提供了工具和方法来区分误报与真实漏洞。... 2025-8-19 14:30:44 | 阅读: 21 | 收藏 | PortSwigger Research - portswigger.net reuse client desync hackxor robots

HTTP/1.1 Must Die: What This Means for AppSec Leadership PortSwigger研究显示HTTP/1.1协议存在根本性解析漏洞，导致"desync"攻击持续威胁全球数千万网站。攻击者可利用解析模糊实现会话劫持、缓存中毒和数据泄露。研究指出仅靠补丁无法解决问题，需全面淘汰HTTP/1.1转向更安全的HTTP/2协议。... 2025-8-6 22:23:49 | 阅读: 25 | 收藏 | PortSwigger Blog - portswigger.net desync security dast burp portswigger

HTTP/1.1 Must Die: What This Means for In-House Pentesters PortSwigger研究显示HTTP请求走私攻击持续猖獗，影响数千万网站。HTTP/1.1协议固有缺陷使漏洞难以修复，转向HTTP/2是关键解决方案。... 2025-8-6 22:23:41 | 阅读: 22 | 收藏 | PortSwigger Blog - portswigger.net desync kettle security burp

HTTP/1.1 Must Die: What This Means for Bug Bounty Hunters PortSwigger的研究显示HTTP请求走私问题依然严重且被低估，全球数千万网站受影响。新研究指出传统防御难以应对协议层漏洞，建议全面淘汰HTTP/1.1转向HTTP/2以提升安全性。这对漏洞赏金猎人来说是巨大机遇。... 2025-8-6 22:23:28 | 阅读: 21 | 收藏 | PortSwigger Blog - portswigger.net desync kettle burp tooling

HTTP/1.1 Must Die: What This Means for Contract Pentesters and MSSPs PortSwigger的研究显示HTTP请求走私攻击依然猖獗且被低估，影响数千万网站。研究指出HTTP/1.1协议难以准确界定请求边界，易致严重安全漏洞。建议采用HTTP/2取代HTTP/1.1以应对威胁。... 2025-8-6 22:23:7 | 阅读: 21 | 收藏 | PortSwigger Blog - portswigger.net desync kettle security burp dast

The Desync Delusion: Are You Really Protected Against HTTP Request Smuggling? HTTP请求走私是一种严重但常被忽视的网络漏洞。传统DAST工具依赖预设payload，仅能检测简单或已知攻击场景，无法识别复杂或新型攻击。Burp Suite DAST通过深入分析前后端服务器解析差异，实现更全面、可靠的漏洞检测，帮助企业防范潜在威胁。... 2025-8-6 22:22:44 | 阅读: 19 | 收藏 | PortSwigger Blog - portswigger.net dast burp desync threats

HTTP/1.1 must die: the desync endgame 文章指出HTTP/1.1存在固有安全缺陷，导致数百万网站易受恶意接管。文中介绍了多种新型HTTP解析错位攻击技术，并通过案例研究展示了其对Akamai、Cloudflare和Netlify等核心基础设施的影响。作者提出开源工具包用于检测解析器差异，并强调转向HTTP/2是解决这一威胁的唯一长期方案。... 2025-8-6 22:20:0 | 阅读: 47 | 收藏 | PortSwigger Research - portswigger.net desync upstream netlify te discrepancy