SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2022.11.2 安定版リリース内容

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

portswigger.net

User OptionとProject Optionの改善

[User Option] タブと[Project Option] タブのすべてのオプションを、メイン ツールバーのボタンまたは構成可能なホットキーからアクセスできる新しい[Settings] ダイアログに移動しました。

この新しいダイアログは、Burpのオプションのレイアウトとナビゲーションを改善します:

  • 1 つのウィンドウですべてのユーザーとプロジェクトの設定にアクセスできるようになりました。
  • 検索コマンドとフィルター コマンドを使用して、必要な設定を見つけることができるようになりました。
  • UX調査の結果、設定できる項目をより論理的に整理しました。

ダイアログの各設定には、ユーザー レベルの設定かプロジェクト レベルの設定かを示すマーカーがあります。どのレベルで適用できる設定については、 [Override options for this project only] トグルがあり、設定を適用するレベルを選択できます。

DOM Invader: Web メッセージを介したクロスオリジン データ リークの検出

現在のページが URL からのデータを含む Web メッセージを別のターゲット オリジンに送信したことを検出できるようになりました。
攻撃者は、データを抽出するイベント リスナーとともに、影響を受けるページをifarameに埋め込むことにより、OAuthトークンなどの機密データを盗む可能性があります。
DOM Invader のWeb メッセージ設定からDetect cross-domain leaksオプションを有効にすることで使用できます。

DOM Invader: Permissions-Policy ヘッダーを削除

Permissions-Policyレスポンスヘッダーを削除するように DOM Invader を構成できるようになりました。
一部の Web サイトは、同期 XHR などの DOM Invader の機能に不可欠な機能をブロックするPermissions-Policyヘッダーを介してディレクティブを設定します。
この場合、DOM Invader はコンソールを介して通知し、設定メニューから [Remove permissions policy header] オプションを有効にするように求めます。

Montoya API のプロキシ WebSocket リスナーのサポート

Montoya API を使用して、プロキシされた WebSocket メッセージをインターセプトおよび変更できるようになりました。

改善

  • フル スキャンを実行しなくても、選択したインジェクションポイントのみをスキャンできるようになりました。
  • 拡張機能テーブルの新しいコンテキスト メニュー オプションを使用して、一度に複数の拡張機能をロードまたはアンロードできるようになりました。
  • [Edit hotkeys] ダイアログに検索テキスト フィールドが追加され、ホットキーのテーブルをフィルター処理できるようになりました。

ブラウザのアップグレード

Burp のブラウザをChromium 107.0.5304.110にアップグレードしました。これにより、重大なセキュリティ問題が多数修正されます。

バグ修正

メッセージ エディターでリクエストが正しく表示されないことがあったバグを修正しました


気になるポイント

User OptionとProject Optionの配置変更

User OptionとProject Optionの配置が変更されました。従来はTargetタブやRepeaterタブと並んで、配置されましたがアップデート以降は以下のように画面右上からアクセスすることができます。

Settingsダイアログ

ダイアログをクリックすると、別窓で設定画面が開きます。
例えば、認証情報を設定する[Platform authentication]は、UserとProject両方で設定が可能でした。(プロジェクトを有効にするとUser情報を上書きする)
従来はUser Optionと Project Optionは画面が似ていて、どっちに設定していたか分かりにくかったのですが、新しいUIになって分かりやすくなったかと思います。

Platform authentication(User setting)

Platform authentication(Project setting)

※ 認証設定は適当です。
User、Project settingはそれ以外にも、hostname設定や内臓ブラウザの挙動変更など、診断で変更する方も多いかと思います。
アップデートでSettingsが何処に行ったか混乱しないようにしておきましょう。
また、社内でBurpの画面を貼り付けているドキュメントなどがあればアップデートを検討しておきましょう。