SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2022.12 アーリーアダプター版 リリース内容

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

portswigger.net

ポップアップベースのログイン機能に対応した認証クロール

Burp Scanner は新しいウィンドウやタブを開くログインシーケンスを再生できるようになりました。これにより、Google や Amazon の SSO サービスなど、ポップアップで開かれるログイン機能を備えた Web サイトで認証スキャンを実行できます。

Burp Scanner のライブクロールビュー

[Scan details] ダイアログに新しいく[Live crawl view] タブを追加しました。このタブでは、Burp Scanner が Web ページをレンダリングするのをリアルタイムで見ることができ、異常なクロール アクティビティを診断したり、特定のターゲットをスキャンするときの Burp Scanner の動作をよりよく理解するのに役立ちます。

DOM Invaderの機能強化

このリリースでは、DOM Invader に多くの新機能が追加され、使いやすさが改善されています。

  • DOM 破壊の脆弱性の検出- DOM Invader は、閲覧時に DOM 破壊の脆弱性をスキャンできるようになりました。この機能は、他のテスト アクティビティに干渉する可能性があるため、デフォルトでは無効になっています。DOM インベーダーの設定メニューから有効にできます。
  • 注入可能なサービス ワーカーの検出- DOM インベーダーは、登録時にカナリアをサービス ワーカーに注入しようとし、制御可能なプロパティにフラグを立てます。次に、Service Worker がこれらのプロパティを安全でない方法で使用しているかどうかを手動で調査できます。
  • URL インジェクションの改善-すべての URL パラメータに一度にテスト文字列を挿入する [ URL をインジェクト] ボタンを削除しました。ほとんどの場合、これはサイトが適切に機能しなくなるだけなので、あまり役に立ちませんでした。代わりに、 Inject URL paramsをクリックして、個々のウィンドウで個別に各 URL パラメータに Canary を挿入できるようになりました。これははるかに実用的であり、大幅に優れた結果が得られます。
  • 自動注入に使用するパラメーターの制限- [Inject into all sources] オプションを使用する場合、DOM インベーダーがCanaryの注入に使用するパラメーターのカスタムリストを定義できるようになりました。これにより、すべてのパラメーターを一度に挿入すると、通常はサイトがまったく機能しなくなるため、この機能がより便利になります。

また、メイン設定メニューを折りたたみ可能なカテゴリに分割して、使いやすくしました。

ローリング ライセンス

Burp Suite にローリング ライセンスのサポートを追加しました。Burpライセンスキーの有効期限が切れていても、アカウントに新しい有効なライセンスが関連付けられている場合、Burp Suiteは次回の起動時に新しいライセンスキーを自動的に適用します。

Java 要件の変更

Burp Suite を実行するには、Java 17 以降が必要になりました。コマンド ラインから Burp Suite を起動しない限り、この変更による影響はありません。インストーラにはバンドルされたプライベート Java ランタイム環境が含まれているため、Java のインストールや更新について心配する必要はありません。

改善

このリリースには、次のようないくつかのマイナーな改善が含まれています。

  • Burp Scanner のレジリエンスを高め、単一ページ アプリケーションのスキャンをより適切にサポートするために、多くの変更を加えました。
  • Collaborator クライアントは、インタラクションの詳細パネルにソース ポートを表示するようになりました。これは、特定のサーバーが特定の攻撃に対してどの程度脆弱であるかを測定するのに役立ちます。
  • Repeater では、タブを折りたたまれたグループにドラッグ アンド ドロップできるようになりました。ドラッグしたタブがグループの最後に追加されます。
  • プロジェクト ファイル サイズへの影響を最小限に抑えるために、Intruder 攻撃の結果を保存する方法を変更しました。

バグ修正

次のバグを修正しました。

  • NTLM認証を使用する場合、Burpは手動で変更された接続ヘッダーを取り除いていましたが、これを修正しました。
  • リクエストが実際に送信される数秒前にリクエストがサーバーに送信されたと Intruder が誤って報告していた、Intruder と Logger の間のリクエスト時間の不一致を修正しました。

気になるポイント

ポップアップベースのログイン機能に対応した認証クロール

たとえば、はてなブログのアカウントだと、GoogleやTwitterでログインできます。

ログイン画面

Googleを選ぶと以下の画面がポップアップで表示されます。

googleアカウントでログインする場合の画面

このようなSSOを使ったログイン認証システムに対して、今回のアップデートでBurpは事前に記録した操作をもとに認証を行ってからスキャンを開始できるようになるらしいです。
ログイン画面には、CAPTCHAなどもありますし一筋縄ではいかない場面のほうが多い気がしますが、スキャンがしやすくなるのは良いことですね!

ライブクロールプレビュー

デバッグには使いやすそうですね。
どんなものなのかSSTのサイトを軽くクロールしてみました。

ライブクロール

現状ではまだ使い勝手がいいとは言えないですね。今後の改善や機能強化に期待です。

  • 動作が重い
  • どこを押したのかは分からない
  • 現在のクロールビューなので、過去のスキャン結果や一部のaudit結果のクロールを見返すことはできない
  • 404が多発する

ローリング ライセンス

ライセンスキーの自動更新ができるようになったようです。
大量にアカウントを持っている会社には朗報ですね。安定版にも早くリリースされてほしいです。