はじめに
この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。
原文をご確認されたい方は、公式のリリースノートをご覧ください。
アーリーアダプター版から導入された機能
本リリースは、アーリーアダプター版の2022.12リリース内容の多くが安定板に正式導入されています。 この記事では、アーリーアダプター版では含まれていなかった内容についてのみ記載しています。
2022.12リリース内容については、こちらをご覧ください。
Burp Scanner の改善
このリリースでは、Burp Scannerの耐障害性を大幅に改善し、より幅広いアプリケーション、特にSPAのサポートを強化しました。
最も重要なのは、Burp Scannerの内蔵ブラウザを使ったナビゲーションの方法を根本的に変更したことです。その結果、以前は自動脆弱性スキャンと互換性のなかった多くのサイトを正常にスキャンできるようになりました。特にクライアントサイドのJavaScriptによるナビゲーションに大きく依存しているサイトでは、より良い結果が得られるはずです。
また、ブラウザのプロセス管理も劇的に改善され、スキャン時のメモリ使用量も大幅に削減されました。
バグの修正
- Windows マシンでレポートが正しく保存されないバグを修正しました。レポートが保存された際に「Failed to open file」というエラーを表示していました。
- Burp のブラウザが Service Worker を登録できず、記録されたログイン シーケンスと手動テストで発生していたバグを修正しました。
- ユーザー設定ファイルの読み込み中にキャンセルしようとすると、Burpが「Configuration File」エラーを表示していたバグを修正しました。
ブラウザアップグレード
このリリースでは、Burp のブラウザがChromium 108.0.5359.124/.125にアップグレードされています。
気になるポイント
Burp Scannerの改善
2022.12アーリーアダプター版では、改善内容にBurp Scannerに関する内容がありました。
Burp Scanner のレジリエンスを高め、単一ページ アプリケーションのスキャンをより適切にサポートするために、多くの変更を加えました。
2022.12.4の安定版では、上記の内容がより具体的に記載されたものだと思います。
ただし、変更した機能の内容までは言及していないため、機会があれば確認してみたいです。
ローリング ライセンス
ライセンスキーの自動更新が安定版にもリリースされました。
弊社も数十人以上の診断員がいるため、自動更新ができるか検討してみたいと思います。