文章总结： 这篇文章介绍了BurpSuite2025.12专业版的主要更新和功能增强，包括新增React2Shell漏洞扫描检查、命令面板功能、安全消息共享、OAuth2API扫描支持等。文章提供了Windows/Linux/Mac多平台的安装使用方法，并强调了工具仅应用于合法授权的安全测试环境。新版本提升了用户体验和扫描能力，但用户需注意合规使用，避免对非授权目标进行扫描。 综合评分： 75 文章分类： 安全工具,WEB安全,渗透测试,漏洞分析,产品介绍

全新升级BurpSuite2025.12专业(稳定版)下载Windows/Linux/Mac支持Java21以上|新增POC检测

原创

城北

渗透安全HackTwo

2025年12月16日 00:01 广东

前言

Burp Suite是一个无需安装软件，下载完成后，直接从命令行启用即可。开箱即可使用支持LInux/Windows/Mac版本

全新界面，引入Burp AI 在 Repeater 中的核心功能

React2Shell 新增扫描检查 (CVE-2025-55182, CVE-2025-66478)

01

更新介绍

#React2Shell 新增扫描检查 (CVE-2025-55182, CVE-2025-66478)我们新增了一项针对 React2Shell 的主动扫描检查，React2Shell 是一个影响 React 和 Next.js 中 React 服务器组件的严重远程代码执行漏洞。此检查默认启用，并且每个主机运行一次。
#使用命令面板，通过键盘控制 Burp。我们新增了命令面板，方便您仅使用键盘即可快速查找和使用 Burp 的各项功能。按下 CtrlCtrl+K或Shift 键Cmd+K并开始输入，即可访问命令、搜索项目文件、在 BApp 应用商店中查找扩展程序，以及无需浏览菜单即可调用扩展程序。
#使用 Burp Collections 安全地共享消息我们在 Burp Suite Professional 中引入了集合功能，使您可以通过单个安全的 Burp 链接与其他 Pro 用户共享一条或多条 HTTP 消息。这提供了一种简单、安全的方式来传递发现结果、重现步骤或概念验证请求，而无需复制粘贴或导出文件。这些集合使用Burp Organizer 创建，并支持来自您所有工具的流量。数据经过端到端加密，PortSwigger 永远无法访问这些数据。要创建集合，请在 Burp Organizer 中选中邮件，然后使用“创建集合”链接的上下文菜单项。要导入集合，请在浏览器中打开链接或将其粘贴到命令面板中。
#支持 OAuth2 API 扫描Burp 现在支持用于 API 扫描的 OAuth2 客户端凭据流程身份验证。如果您的 OpenAPI 定义或 Postman 集合指定了此流程，Burp 会自动检测并自动填充详细信息，从而帮助您更快地启动扫描，减少手动设置。Burp 随后会使用此信息在扫描期间获取和刷新您的访问令牌，因此您无需手动管理令牌。您也可以通过输入令牌 URL、客户端 ID、客户端密钥和可选范围来自行配置 OAuth2。Burp 还可以检测其他类型的 OAuth2，但目前不支持它们。
#命令面板中 URL 的快捷操作命令面板现在可以识别您输入的 URL，并提供相应的快捷操作。您可以：立即在 Burp 浏览器中打开 URL。将URL发送给Repeater。启动扫描。将其添加到套件范围或从套件范围中排除。
#批量选择时使用快捷键和命令现在，扩展快捷键允许您一次性对多个选定项目执行操作。这使得在大量请求中触发扩展程序或重复执行操作成为可能。
#比较器增强功能在此版本中，我们对比较器进行了多项改进：我们新增了一项设置，用于控制比较器结果窗口中的面板是否默认保持同步。您可以在“设置”>“比较器”>“比较器结果同步视图”下找到该设置。比较器现在会自动换行，使并排比较更易于阅读。这样，您无需水平滚动即可直观地对齐更改。Burp 现在会在会话之间保存比较器“同步视图”设置的状态。这样，每次重启后就无需重新启用该设置。我们在比较器中添加了“上一个”和“下一个”按钮，以便您可以快速跳转到不同的更改。#质量改善Burp 底部栏的内存悬停提示现在会显示当前加载的扩展程序数量，从而更容易发现活动扩展程序的数量是否会影响性能。现在您可以从消息编辑器中以美观的打印格式复制请求和响应。这使得共享或将其包含在报告中变得更加容易。Burp 的 CA 证书现在包含“密钥用途”X509v3 扩展。这提高了与使用 Python 3.13 及更高版本的工具的兼容性。
#错误修复我们修复了一个错误，即在 Intruder 结果中使用 Ctrl+单击复制列时，该列也会被排序。我们修复了一个错误，即在 Repeater 中运行自定义操作后使用“发送到 Organizer”功能会发送原始响应而不是更新后的响应。Host我们修复了一个错误，即取消带有以结尾的标头的请求:会导致 Repeater 出现 UI 问题。我们修复了比较器中的一个错误，该错误会导致当第二个请求包含额外数据时，您无法滚动到第一个请求文本的末尾。现在您可以按预期查看完整内容了。Burp Scanner 不再尝试审核无法进行有效扫描的超大响应（例如 MP4 文件）。

03

使用/安装方法

1.脚本改进

windows bat文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件for /R "%~dp0" %%i in (burpsuite_pro_v*.jar) do (    set "burp_jar=%%~fi"    goto :Found)linux sh文件中增加自动查找当前目录下的burpsuite_pro_v*.jar文件# 使用globbing找到以"burpsuite_pro_v"开头的jar文件for jarfile in burpsuite_pro_v*.jar; do    # 如果找到了文件，就跳出循环    if [[ -e "$jarfile" ]]; then        break    fidone

2.修复Mac版的中文包bug

3.首次安装请查看安装文档PDF进行安装

4.老用户直接打开使用即可

5.英文版点击burpsuiteProEN启动

6.中文版点击创建桌面快捷方式即可启动

7.新增Mac版安装教程

04

免责声明

获取方法

公众号回复20251216获取软件

 全新设计界面（密码:HackTwo）

👉点击加入内部VIP星球享受VIP资源👈

最后必看

本工具及文章技巧仅面向合法授权的企业安全建设行为，如您需要测试本工具的可用性，请自行搭建靶机环境。为避免被恶意使用，本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。

    在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。请勿对非授权目标进行扫描。如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具来源于网络，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

    在安装并使用本工具前，请您务必审慎阅读、充分理解各条款内容，限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束。

往期推荐

1.内部VIP知识星球福利介绍V1.4（AI自动化工具）

2.CS4.8-CobaltStrike4.8汉化+最新插件集成版

3.最新Nessus2025.8.7版本下载

4.最新xray1.9.11高级版下载Windows/Linux

5.记一次挖洞springboot未授权到反弹shell

6.最新HCL AppScan10.8.28408特别版下载

渗透安全HackTwo

微信号：关注公众号获取

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

喜欢的朋友可以点赞转发

查看原文：《全新升级BurpSuite2025.12专业(稳定版)下载Windows/Linux/Mac支持Java21以上|新增POC检测》