近日,国外安全人员披露了一个该工具存在远程代码执行漏洞的视频,Burp Suite 官方在推特上对此回复:视频证据并不充分,并有可能是伪造的。
Burp Suite
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉Burp Suite的使用,也使得渗透测试工作变得轻松和高效。
Burp Suite 被曝远程代码执行漏洞
推特网友上传了一个关于 Burp Suite V1.7.27版本中出现的远程代码执行漏洞。本地或远程的研究人员可以利用该漏洞渗透测试那些正在执行扫描任务的计算机系统。
演示视频如下:
Burp Suite 推特官方回复:视频证据不充分,有可能是伪造的
对此,Burp Suite 在推特上也第一时间回复了网友的质疑。
Burp Suite 表示:
视频中展示的证据并不充分,而且可能是伪造的。我们的漏洞奖励计划会对真实的漏洞给予奖励。
而网友对“漏洞造假”的说辞并不买账:
视频中表示,已经将该问题报告给了相关人员,Burp Suite 也对此事表示确认。
而 Burp Suite 对此回复:
除了该视频外,我们并没有收到更多的信息。
孰是孰非,暂且没有定论
对于此事的孰真孰假,现在着实不好下定论,因为视频中“声称”Burp Suite 已确认的事实也不一定为真,因为任何人都可以声称任何事。而现在,对于 Burp Suite 来说,一句简单的“漏洞造假”可能做的还不够,披露更多的漏洞信息可能更有说服力。
参考来源:
FB小编 Liki 编译整理