SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2023.1 アーリーアダプター版 リリース内容

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

portswigger.net

設定画面の見直し

  • 以下の機能に関する全ての設定を[Tool]セクションに移動しました。
    • Proxy
    • Repeater
    • Sequencer
    • Intruder - ユーザー設定のみ。Intruderの構成設定は、Intruder attackタブに残ります。
  • 拡張機能用の新しい設定画面の追加
  • configuration library新しい設定画面の追加
  • Target scope設定をSettingsの[Scope]セクションに移動
  • リソースプールとタスク自動開始設定をSettingsの[Tasks]セクションに移動

この見直しの一環として、次のことも実施しました。

  • Repeater Default タブグループ設定を追加しました。これにより、Repeater に送信されたときにリクエストがデフォルトで追加されるタブ グループに構成できるようになりました。
  • ホットキー設定の表示パネルを更新しました。これにより、このパネルからホットキーを直接編集できるようになりました。
  • Inspectorの設定をメッセージ エディターページに移動しました。

Montoya API の永続性

Montoya API をバージョン 1.0.0 にアップグレードしました。これにより、Burp 拡張機能がプロジェクト ファイル内のデータを保存および管理できるようになります。バージョン 1.0.0 で開発した BApp はすべて、将来のバージョンの Burp と互換性があります。これは、API に対する今後のすべての変更が下位互換性を持つためです。

  • 拡張機能の設定とデータを現在の Burp プロジェクトに保存します。API は、起動時に作成されたプロジェクト ファイルと、後でプロジェクト ファイルに保存する一時プロジェクトの両方にデータを保存できます。各拡張機能は、独自のデータにのみアクセスできます。
  • 現在のプロジェクトのコピーを保存するときに、拡張データを保存するかどうかを選択します。
  • 別のプロジェクト ファイルから拡張データをインポートします。

Montoya API は、次のデータ型をサポートしています。

  • Primitives
  • Strings
  • Booleans
  • Requests
  • Responses
  • Byte arrays
  • Lists
  • Hierarchies

この機能はBurpの古いWiener Extender APIでは利用できないことに注意してください。バージョン 1.0.0 以降の Montoya API を使用して、データの保存と取得をサポートする拡張機能のみを作成できます。

マクロ機能のアップデート

カスタム マクロ パラメータのプレフィックスとサフィックスを定義できるようになりました。 例えば、静的なプレフィックスの後に動的な値を必要とする Authorization ヘッダをサポートするといったケースに便利です。

バグ修正

portswigger.net にリクエストを送信し、その後パスを絶対URLに変更した場合、Burp Repeaterタブが正しく機能しない不具合を修正しました。

ブラウザの更新

Chromium 109.0.5414.74/.75/.87にアップグレードしました。


気になるポイント

設定画面の見直し

Settingsダイアログは、2022.11のEAリリースから追加されたBurpの設定編集画面です。リリース当初は、User OptionとProject Optionだけでしたが、今回のアップデートで各機能のオプションが集約されたようですね。

Repeater以外は各機能のオプションがそのまま移動しただけですので、場所が分かっていればそれほど混乱しないと思います。

Setting画面

Repeaterも殆ど変わりありませんが、デフォルトのタブグループ設定項目が追加されています。ProxyやInruderなどからRepeaterに送る際に、デフォルトでグループが割り当てられるようです。少しだけ便利になりそうですね。

拡張機能の設定ページは、Burpスタートアップ時の振る舞い設定やJythonやJRubyの環境パスの設定画面のことでした。従来はExtenderタブの中にあったものが移動したようです。

Extensions画面

マクロ機能のアップデート

レスポンスから追従したいパラメータを設定するときにプレフィックスやサフィックスが付けられるようになったようです。 限定的かもしれませんがあると嬉しい機能ですね。 スクリーンショット左側が今回のバージョンの画面、右側が古いバージョンの画面です。

Macro Custom Parameter

それよりも個人的にはカスタムでヘッダー追加できるようにしてほしいのと、ヘッダーの値をレスポンスの内容から追従できるようにしてほしいですね・・・。Extenderはありますが公式で採用されないのが謎です。