文章总结： 本文详解BurpSuiteProfessional2025.12.2版本更新，核心涵盖增强BurpAI、React2Shell漏洞检测及OAuth2扫描支持。新增命令面板与安全消息集合功能，优化内存管理及对比器体验。文章包含破解配置文件处理与界面光标错位修复建议，并提供下载获取方式。 综合评分： 88 文章分类： 安全工具,渗透测试,WEB安全

---

【渗透测试】Burp Suite Professional 2025.12.2

原创

利刃信安

利刃信安

2026年1月3日 09:09 北京

Burp Suite Professional 2025.12.2

Burp Suite Professional 是一套领先业界的 Web 安全测试高级工具集，集多功能于一体，涵盖从基础的拦截代理到尖端的自动化扫描器，助力安全人员高效完成测试任务。

该工具集提供全面的漏洞扫描、渗透测试与自动化安全审计能力。最新版本增强了 Burp AI 智能辅助引擎与 ActiveScan++ 扩展模块，新增 React2Shell 等高危漏洞检测功能，并强化了 API 扫描中对 OAuth2 身份验证的支持及 OpenAPI 4.0 协议的兼容性。同时，产品集成了智能爬虫、命令面板、安全消息集合等实用模块，优化了 Comparer 比对功能与批量操作效率，能够精准识别 GraphQL 注入、SSRF 等复杂漏洞，全面适配云原生环境与复杂 API 架构的安全评估需求。

更新日志

Professional / Community 2025.12.2

我们已将Burp浏览器升级至Chromium 143.0.7499.147版本（适用于Windows和Mac系统）及143.0.7499.146版本（适用于Linux系统）。

Professional / Community 2025.11.6

我们已将Burp内置浏览器升级至Chromium 143.0.7499.147版本（适用于Windows和Mac系统）及Chromium 143.0.7499.146版本（适用于Linux系统）。

Professional / Community 2025.11.5

我们已将Burp内置浏览器升级至Chromium 143.0.7499.110版本（适用于Windows与Mac系统）和Chromium 143.0.7499.109版本（适用于Linux系统）。

Professional / Community 2025.12.1

我们已将Burp内置浏览器升级至Chromium 143.0.7499.110版本（适用于Windows和Mac系统）及Chromium 143.0.7499.109版本（适用于Linux系统）。

Professional / Community 2025.12

本次更新新增了用于安全消息分享的集合功能、命令面板中的快速URL操作、API扫描的OAuth2客户端凭证支持，并改进了对比器与扩展热键等功能。

通过Burp集合安全分享消息

我们在Burp Suite Professional中引入了集合功能，使您能通过单个安全的Burp链接与其他专业版用户分享一个或多个HTTP消息。这提供了一种简单安全的方式来传递漏洞发现、复现步骤或概念验证请求，无需复制粘贴或导出文件。

集合可通过Burp Organizer创建，并支持来自各工具的流量数据。数据采用端到端加密，PortSwigger无法查看。

要创建集合，请在Burp Organizer中选中消息并使用右键菜单中的”创建集合”功能；要导入集合，请在浏览器中打开分享链接或将其粘贴至命令面板。

API扫描支持OAuth2认证

Burp现支持API扫描的OAuth2客户端凭证流程认证。若您的OpenAPI定义或Postman集合中指定了此流程，Burp将自动检测并填充详细信息，帮助您以更少的手动配置快速启动扫描。扫描过程中，Burp会使用这些信息自动获取并刷新访问令牌，无需手动管理。

您也可通过输入令牌URL、客户端ID、客户端密钥及可选范围来自行配置OAuth2。Burp目前还能检测其他类型的OAuth2流程，但暂未提供支持。

命令面板中的URL快速操作

命令面板现在可识别输入的URL并提供快速操作选项：

立即在Burp浏览器中打开URL

发送至Repeater模块

启动扫描任务

添加至或排除出测试范围

批量选择项的热键与命令操作

扩展热键现已支持对多个选中项目同时执行操作，使得对大量请求批量触发扩展或重复操作成为可能。

对比器功能增强

本次更新对对比器进行了多项改进：

新增控制对比器结果窗口面板默认同步滚动的设置（路径：设置 > 对比器 > 对比器结果同步视图）

新增长文本自动换行功能，使并排对比更易阅读，无需水平滚动即可直观对齐变更内容

现在会保存对比器”同步视图”设置的会话状态，无需每次重启后重新启用

新增”上一处”/”下一处”按钮，可快速跳转至不同变更点

使用体验优化

Burp底部状态栏的内存悬浮提示现会显示当前加载的扩展数量，便于判断活跃扩展是否影响性能

现可从消息编辑器中复制格式化后的请求与响应内容，便于分享或纳入报告

Burp的CA证书现已包含”密钥用法”X509v3扩展，提升与Python 3.13及以上版本工具的兼容性

问题修复

修复在Intruder结果中使用Ctrl+单击复制列时会意外排序的问题

修复在Repeater中执行自定义操作后使用”发送至Organizer”会发送原始响应而非更新后响应的问题

修复取消包含以冒号结尾Host标头的请求时导致Repeater界面异常的问题

修复对比器中因第二段请求数据更长时无法滚动查看首段请求完整内容的问题，现可正常查看全部内容

Burp Scanner不再尝试审计无扫描意义的大型响应（如MP4文件）

Professional / Community 2025.11.4

本次更新增加了针对React2Shell的扫描检查、键盘驱动的命令面板，以及更便捷的内存管理功能——同时更新了Intruder预置载荷列表，优化了快捷键支持，并带来多项使用体验改进。

新增针对React2Shell的扫描检查（CVE-2025-55182、CVE-2025-66478）

我们新增了一项主动扫描检查，用于检测React2Shell漏洞。这是一个影响React及Next.js中React Server Components的严重远程代码执行漏洞。该检查默认启用，并对每个主机执行一次。

通过命令面板，用键盘掌控Burp

我们新增了命令面板功能，帮助您仅用键盘即可快速查找并使用Burp的各项功能。按下Ctrl+K（Windows/Linux）或Cmd+K（macOS）并开始输入，即可访问命令、搜索项目文件、在BApp商店中查找扩展，或直接调用扩展而无需浏览菜单。

命令面板

如果您已将Ctrl+K或Cmd+K分配给其他命令，命令面板将没有默认快捷键。您可以在设置 > 用户界面 > 快捷键中手动设置。更多信息，请参阅“命令面板”。

向命令面板添加扩展命令

如果您是扩展开发者，现在可以通过注册命名快捷键的方式，将您自己的命令添加到面板中。完整说明请参阅“为Burp扩展添加快捷键”。

更便捷地管理Burp内存使用

我们更新了“最大内存使用量”设置的描述，更清晰地解释了Burp如何利用可用内存，以及您应如何调整此设置以平衡Burp性能与系统需求。

此外，该设置现在更容易被发现：

您可以直接从底部状态栏访问它，该状态栏还会显示当前内存使用量及分配给Burp的总内存。

在设置窗口中，它已被移至新的“Suite > 性能”分类下。

更多信息，请参阅“最大内存使用量”。

在自定义扫描检查中处理Burp Collaborator交互

您现在可以在主动自定义扫描检查中使用Burp Collaborator来检测带外漏洞。

要启用此功能，请在您的检查中开启“使用Collaborator”，然后在新的“Collaborator”选项卡中添加交互处理器。Burp将轮询交互信息并将其传递给您的处理器进行分析和报告。

即使扫描完成，只要检查保持活动状态，Burp将继续监控延迟的交互。

更多信息，请参阅“在检查中使用Collaborator”。

更新Intruder预置载荷列表

我们已根据PortSwigger XSS速查表更新了Burp Intruder的预定义载荷列表。

在Intruder中配置载荷时，您可以直接从“从列表添加…”下拉菜单中选择这些列表。

使用体验改进

我们进行了以下使用体验改进：

当后续对同一URL的请求返回304响应时，Burp不再覆盖站点地图中的原始响应。这有助于您直接从站点地图中获取更有用的上下文信息。

我们更新了Burp的证书，加入了授权密钥标识符和主题密钥标识扩展。这确保了与新版Python库的兼容性，并防止拦截期间出现TLS错误。

从目标分析器保存的报告现在默认包含.html扩展名，因此您无需重命名即可立即打开。

您现在可以为以下操作分配快捷键：

从Repeater运行Burp AI任务。

在子标签页之间切换。

重命名Repeater标签页。

我们添加了图标和分类，帮助您更轻松地浏览快捷键。

错误修复

我们修复了以下错误：

修复了仪表板任务日志选项卡中“隐藏无响应项目”过滤器未能正确应用的问题。

更新了“学习”选项卡中的视频链接，确保指向正确内容。

修复了同时更改多个问题的严重等级可能导致Burp冻结的问题。

修复了在Burp 2025.10.2及更高版本中，如果存在用户定义规则，Reshaper扩展可能无法加载的问题。

浏览器升级

我们已将Burp的内置浏览器升级至Chromium 143.0.7499.41（Windows和Mac版）及143.0.7499.40（Linux版）。更多信息，请参阅Chromium发布说明。

BurpSuitePro.vmoptions

DO NOT ADD OR CHANGE JVM OPTIONS IN THIS FILE# This file may be overwritten when Burp Suite is launched or updated.# # To configure Burp Suite's Java Virtual Machine (JVM), use the user.vmoptions file instead.## Specify options in the user.vmoptions file, by adding each one on a new line.# For example, the following option limits Burp Suite to using 50% of the system's total RAM:# -XX:MaxRAMPercentage=50## For more information about configuring options for Burp's JVM, see:# https://portswigger.net/burp/documentation/desktop/troubleshooting/setting-java-options-XX:MaxRAMPercentage=50-include-options settings.vmoptions-include-options user.vmoptions-javaagent:BurpLoaderKeygen_v1.18.jar--add-opens=java.desktop/javax.swing=ALL-UNNAMED--add-opens=java.base/java.lang=ALL-UNNAMED--add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED--add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED

默认安装后存在光标偏移错位

解决方案：调整字体大小

调整为8的倍数 16 24 均可

建议楷体 24

软件获取：

如有需要，请前往官网购买正版软件。

如需学习，公众号后台回复【Burp】获取技术交流版本，仅供学习使用。请24小时内删除即可！

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：利刃信安 利刃信安《【渗透测试】Burp Suite Professional 2025.12.2》