How this seasoned bug bounty hunter combines Burp Suite and HackerOne to uncover high-impact vulnerabilities 独立安全研究员Arman利用Burp Suite Professional和HackerOne合作发现高价值漏洞并赚取赏金。... 2025-9-12 12:21:38 | 阅读: 5 | 收藏 | PortSwigger Blog - portswigger.net burp hackerone arman security portswigger

Watch the webinar: Scale secure coverage without scaling headcount 随着应用规模扩大和发布速度加快，AppSec团队面临巨大压力。Burp Suite DAST凭借强大的扫描引擎和灵活部署能力，帮助企业在不牺牲灵活性的情况下实现高效安全测试，并与现有工具无缝集成。... 2025-9-4 14:21:0 | 阅读: 11 | 收藏 | PortSwigger Blog - portswigger.net burp security dast workflows appsec

Cookie Chaos: How to bypass __Host and __Secure cookie prefixes 文章探讨了浏览器和服务器在处理Cookie时的逻辑差异如何被用于绕过安全机制。通过利用Unicode空格字符或旧版解析方式，攻击者可伪装受限Cookie名称（如__Host-），使其在浏览器中被视为普通值但在服务器端被识别为受保护类型。这种差异可能导致高权限Cookie被注入或覆盖，威胁会话安全。... 2025-9-3 14:46:23 | 阅读: 13 | 收藏 | PortSwigger Research - portswigger.net whitespace django attacker security interpreted

The year so far: How Burp Suite DAST is leveling up enterprise security in 2025 Burp Suite DAST在2025年上半年进行了多项改进，包括自动化扫描管理、增强API测试能力、提升扫描速度和覆盖率、优化与Jira的集成以及提供灵活的部署选项，帮助企业提升安全成熟度。... 2025-8-28 12:7:45 | 阅读: 14 | 收藏 | PortSwigger Blog - portswigger.net dast security burp onboarding enhanced

"The entire internet is broken": ethical hacking expert John Hammond meets James Kettle 两位安全专家揭示了 HTTP/1.1 的固有漏洞，导致数千万网站易受攻击。他们展示了新的 HTTP 失步攻击，并强调转向 HTTP/2 的重要性以消除此类威胁。... 2025-8-27 09:11:17 | 阅读: 41 | 收藏 | PortSwigger Blog - portswigger.net james security upstream desync tens

Inline Style Exfiltration: leaking data with chained CSS conditionals 文章介绍了一种利用CSS的attr()、image-set()和if语句通过内联样式窃取属性数据的方法。该技术无需导入外部样式表即可实现跨域请求，并可用于窃取简单数据如用户ID或用户名，在Chromium浏览器中有效。... 2025-8-26 12:54:3 | 阅读: 5 | 收藏 | PortSwigger Research - portswigger.net portswigger stylesheet styles username slonser

Beware the false false-positive: how to distinguish HTTP pipelining from request smuggling 文章探讨了HTTP请求走私与连接复用（如keep-alive或pipelining）的区别，指出前者通常为误报但有时确实存在漏洞。作者分析了连接复用的常见场景及其对测试的影响，并提供了工具和方法来区分误报与真实漏洞。... 2025-8-19 14:30:44 | 阅读: 7 | 收藏 | PortSwigger Research - portswigger.net reuse client desync hackxor robots

HTTP/1.1 Must Die: What This Means for AppSec Leadership PortSwigger研究显示HTTP/1.1协议存在根本性解析漏洞，导致"desync"攻击持续威胁全球数千万网站。攻击者可利用解析模糊实现会话劫持、缓存中毒和数据泄露。研究指出仅靠补丁无法解决问题，需全面淘汰HTTP/1.1转向更安全的HTTP/2协议。... 2025-8-6 22:23:49 | 阅读: 11 | 收藏 | PortSwigger Blog - portswigger.net desync security dast burp portswigger

HTTP/1.1 Must Die: What This Means for In-House Pentesters PortSwigger研究显示HTTP请求走私攻击持续猖獗，影响数千万网站。HTTP/1.1协议固有缺陷使漏洞难以修复，转向HTTP/2是关键解决方案。... 2025-8-6 22:23:41 | 阅读: 8 | 收藏 | PortSwigger Blog - portswigger.net desync kettle security burp

HTTP/1.1 Must Die: What This Means for Bug Bounty Hunters PortSwigger的研究显示HTTP请求走私问题依然严重且被低估，全球数千万网站受影响。新研究指出传统防御难以应对协议层漏洞，建议全面淘汰HTTP/1.1转向HTTP/2以提升安全性。这对漏洞赏金猎人来说是巨大机遇。... 2025-8-6 22:23:28 | 阅读: 6 | 收藏 | PortSwigger Blog - portswigger.net desync kettle burp tooling

HTTP/1.1 Must Die: What This Means for Contract Pentesters and MSSPs PortSwigger的研究显示HTTP请求走私攻击依然猖獗且被低估，影响数千万网站。研究指出HTTP/1.1协议难以准确界定请求边界，易致严重安全漏洞。建议采用HTTP/2取代HTTP/1.1以应对威胁。... 2025-8-6 22:23:7 | 阅读: 9 | 收藏 | PortSwigger Blog - portswigger.net desync kettle security burp dast

The Desync Delusion: Are You Really Protected Against HTTP Request Smuggling? HTTP请求走私是一种严重但常被忽视的网络漏洞。传统DAST工具依赖预设payload，仅能检测简单或已知攻击场景，无法识别复杂或新型攻击。Burp Suite DAST通过深入分析前后端服务器解析差异，实现更全面、可靠的漏洞检测，帮助企业防范潜在威胁。... 2025-8-6 22:22:44 | 阅读: 6 | 收藏 | PortSwigger Blog - portswigger.net dast burp desync threats

HTTP/1.1 must die: the desync endgame 文章指出HTTP/1.1存在固有安全缺陷，导致数百万网站易受恶意接管。文中介绍了多种新型HTTP解析错位攻击技术，并通过案例研究展示了其对Akamai、Cloudflare和Netlify等核心基础设施的影响。作者提出开源工具包用于检测解析器差异，并强调转向HTTP/2是解决这一威胁的唯一长期方案。... 2025-8-6 22:20:0 | 阅读: 31 | 收藏 | PortSwigger Research - portswigger.net desync upstream netlify te discrepancy

HTTP Request Smuggling Explained: with seasoned bug bounty hunter NahamSec and world-class researcher James Kettle NahamSec和PortSwigger的研究人员探讨了HTTP请求走私漏洞，解释了前后端服务器对HTTP头的不同解析如何导致安全问题。该漏洞可被用于绕过安全措施、劫持会话、污染缓存甚至接管系统。视频还涉及HTTP/2降级和浏览器驱动的desync等新技术，并引用了Netflix和Atlassian的真实案例。... 2025-8-5 11:8:29 | 阅读: 13 | 收藏 | PortSwigger Blog - portswigger.net james portswigger desync hunters kettle

Repeater Strike: manual testing, amplified 文章介绍了一款名为Repeater Strike的新AI工具，用于自动化检测IDOR等漏洞。该工具通过分析Repeater流量生成智能正则表达式，并扫描代理历史以发现更多相关问题。尽管面临处理大响应和AI输出不一致等挑战，该工具仍展示了其潜力，并鼓励开发者创建更多AI扩展。... 2025-7-15 13:46:37 | 阅读: 11 | 收藏 | PortSwigger Research - portswigger.net repeater username z0 proxy regexes

Watch the on-demand webinar: Shift left without the strain Shifting security left aims to integrate security earlier in software development for faster issue resolution. However, challenges like slow scans, false positives, and workflow friction often hinder its effectiveness. PortSwigger's Burp Suite DAST offers precise, fast, and scalable solutions to these issues, enabling seamless integration into CI/CD pipelines and improving developer trust and efficiency.... 2025-7-14 13:0:0 | 阅读: 15 | 收藏 | PortSwigger Blog - portswigger.net dast security burp friction positives

PortSwigger at Black Hat & DEF CON 33 PortSwigger将在Black Hat USA和DEF CON 33会议上展示新研究和工具，呼吁淘汰HTTP/1.1协议以应对请求走私攻击风险。会议将包括技术演示、工具发布及互动活动。... 2025-7-8 09:17:21 | 阅读: 25 | 收藏 | PortSwigger Blog - portswigger.net portswigger burp vegas security arsenal

Two months of Burp AI: empowering security testers with the future of AppSec 过去两个月，Burp Suite Professional引入AI功能后，推出了五项新特性如自动化漏洞分析和误报减少，并通过BApp Store推出多种AI工具扩展。用户反馈积极，未来将带来更多AI驱动的功能优化。... 2025-6-13 13:51:29 | 阅读: 19 | 收藏 | PortSwigger Blog - portswigger.net burp security repeater portswigger

PortSwigger Honored with the King's Award for Enterprise in International Trade PortSwigger获颁英国King’s Award for Enterprise国际贸易奖，彰显其全球影响力。作为英国116家获奖企业之一，该公司凭借Burp Suite等产品助力全球网络安全发展，并持续扩展业务版图。... 2025-5-30 09:38:42 | 阅读: 13 | 收藏 | PortSwigger Blog - portswigger.net award portswigger talent king stuttard

Meet Burp Suite DAST: Your questions answered PortSwigger宣布将Burp Suite Enterprise Edition更名为Burp Suite DAST，以更清晰地传达其作为动态应用安全测试解决方案的角色。该产品支持大规模Web应用和API扫描，并可与CI/CD管道集成，提供扩展的工具集成和性能优化。未来计划包括资产标记、扫描冻结窗口等功能。现有用户可继续使用Burp Suite Professional的扩展配置。... 2025-5-29 09:29:39 | 阅读: 8 | 收藏 | PortSwigger Blog - portswigger.net burp dast security appsec webinar