2/10追記 2023.1.2安定版リリースで、2023.1のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

https://portswigger.net/burp/releases/professional-community-2023-1-2

設定画面の見直し

以下の機能に関する全ての設定を[Tool]セクションに移動しました。
- Proxy
- Repeater
- Sequencer
- Intruder - ユーザー設定のみ。Intruderの構成設定は、Intruder attackタブに残ります。
拡張機能用の新しい設定画面の追加
configuration library新しい設定画面の追加
Target scope設定をSettingsの[Scope]セクションに移動
リソースプールとタスク自動開始設定をSettingsの[Tasks]セクションに移動

この見直しの一環として、次のことも実施しました。

Repeater Default タブグループ設定を追加しました。これにより、Repeater に送信されたときにリクエストがデフォルトで追加されるタブグループに構成できるようになりました。
ホットキー設定の表示パネルを更新しました。これにより、このパネルからホットキーを直接編集できるようになりました。
Inspectorの設定をメッセージエディターページに移動しました。

Montoya API の永続性

Montoya API をバージョン 1.0.0 にアップグレードしました。これにより、Burp 拡張機能がプロジェクトファイル内のデータを保存および管理できるようになります。バージョン 1.0.0 で開発した BApp はすべて、将来のバージョンの Burp と互換性があります。これは、API に対する今後のすべての変更が下位互換性を持つためです。

拡張機能の設定とデータを現在の Burp プロジェクトに保存します。API は、起動時に作成されたプロジェクトファイルと、後でプロジェクトファイルに保存する一時プロジェクトの両方にデータを保存できます。各拡張機能は、独自のデータにのみアクセスできます。
現在のプロジェクトのコピーを保存するときに、拡張データを保存するかどうかを選択します。
別のプロジェクトファイルから拡張データをインポートします。

Montoya API は、次のデータ型をサポートしています。

Primitives
Strings
Booleans
Requests
Responses
Byte arrays
Lists
Hierarchies

この機能はBurpの古いWiener Extender APIでは利用できないことに注意してください。バージョン 1.0.0 以降の Montoya API を使用して、データの保存と取得をサポートする拡張機能のみを作成できます。

マクロ機能のアップデート

カスタムマクロパラメータのプレフィックスとサフィックスを定義できるようになりました。例えば、静的なプレフィックスの後に動的な値を必要とする Authorization ヘッダをサポートするといったケースに便利です。

バグ修正

portswigger.net にリクエストを送信し、その後パスを絶対URLに変更した場合、Burp Repeaterタブが正しく機能しない不具合を修正しました。

また、MontoyaAPIに関連するいくつかのバグ修正も行いました。

以前、Javadoc にはScanCheck インターフェイスの passiveAudit() メソッドは問題が特定されないと null を返すという誤った記載がありました。実際には、問題が特定されなかった場合に、このメソッドは空のAuditResultオブジェクトを返します。Javadoc を更新しました。
copyToTempFileメソッドで null ポインタ例外が発生するバグを修正しました。