SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2023.2.3 安定版 リリース内容

Burp 脆弱性診断

3/27追記 2023.2.3安定版リリースで、2023.2のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

portswigger.net

Montoya API WebSocket のサポート

WebSocket の Montoya API サポートを改善しました。これにより、WebSocket とより効果的にやり取りする拡張機能を作成することができます。

  • WebSocket の作成
  • WebSocket メッセージ エディターの作成
  • Proxy historyから WebSocket メッセージを取得。これにより、メッセージを検索して興味深いコンテンツを見つけることができます。
  • プロキシされた WebSocket とプロキシされていない WebSocket の両方でバイナリ メッセージを送信することができます。これにより、バイナリ メッセージを処理するサービスと対話できます。
  • プロキシされた WebSocket メッセージにコメントとハイライトを追加

マイナーな改善

  • プロキシ リスナー テーブルに [Support HTTP/2]設定のエントリを追加しました。
  • [Support HTTP/2]設定が変更されたときに自動的に再起動するようにプロキシ リスナーを更新しました。
  • [Settings] ダイアログを再度開くと、以前の検索が表示されるようになり、コンテキストをすばやく確認できるようになりました。

バグの修正

  • フォント サイズを変更したときに、チェックボックスが正しくスケーリングされるようになりました。
  • Burp 拡張機能でタブを生成すると、タブが正しく表示されないバグを修正しました。
  • BurpのMontoya互換ビルドで拡張機能を使用すると、応答が誤って編集済みとしてマークされるバグを修正しました。
  • Hackvertor BApp の使用時にメッセージ エディターで Hackvertor タブが正しく表示されないというバグを修正。
  • Intruder のAttack Resultウィンドウに、同じタブから起動された複数の Intruder 攻撃からのリクエストとレスポンスが表示されることがあるというバグを修正しました。各ウィンドウには、元の攻撃に関連するリクエストとレスポンスのみが表示されるようになりました。

Windows Server 2012 および Windows 7/8/8.1 ユーザー向けの注意事項

Chrome のアップグレードにより、Burp ScannerはWindows Server 2012 および Windows 7/8/8.1との互換性がなくなりました。

ブラウザの更新

このリリースでは、Burp のブラウザがChromium 110.0.5481.177 / 178にアップグレードされています。