SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2023.4 安定版 リリース内容

Burp 脆弱性診断

5/16追記 2023.4.3安定版リリースで、2023.4のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

portswigger.net

Burp Scannerの改善

  • YAML API定義をスキャンできるようになりました
  • フローティングインプットフィールドをスキャンできるようになりました。これによりBurp ScannerはSPAをより適切に処理することができます。
  • ポップアップが閉じたときに、recorded loginが生成するイベントログのノイズ量を減らしました。

Burp Intruderの改善

  • Intruderにリクエストを送信するとき、ペイロードの位置が自動で設定されなくなりました。Intruderの設定を行う前にペイロード位置をクリアする必要がなくなったことを意味します。自動ペイロード位置を設定することも可能です。[Intruder] > [Positions]タブ > [Auto §]をクリック。
  • リクエストをIntruderに送信する前に、ペイロードの位置を事前設定することができるようになりました。ペイロード位置として設定するリクエスト部分をハイライト表示してから、リクエストをIntruderに送信してください。
  • Intruderが特定の攻撃にHTTP/1またはHTTP/2を使用するかどうかを制御する機能を追加しました。

Linux上のARM64

  • LinuxでのARM64のサポートが導入されました。Burpブラウザは、プレーンなJARファイルではなくインストーラビルドでのみ動作することに注意してください。

Montoya API

  • タスク実行エンジンを一時停止および再開できるようになりました
  • ユーザ設定をJSONで読み込んでエクスポートできるようになりました。これによりBurpの設定をより細かく制御できます。
  • カスタムタブをWebSocketメッセージエディタに追加できるようになりました。

表示スケーリング

  • 設定ダイアログにスケーリング設定を追加しました。これによりカスタムスケーリングで高解像度ディスプレイを使用する場合にBurpを正しく表示できます。

バグ修正

  • 完了しているタスクに新たにアイテムを追加すると、[Running]のラベルが付くようになりました
  • 完了したスキャンタスクを含むプロジェクトファイルを開くと、それ以上スキャンアクションを実行せずに完了したままになるようになりました。
  • スペースを含むパスを持つ拡張機能を一時ファイルにロードすると、エラーメッセージが表示されるバグを修正しました。
  • Burpが文字セットを自動的に認識するように設定されている場合、拡張ポップアップが正しく表示されないというバグを修正しました。
  • 場合によっては Burp Intruder タスクが適切にロードされないバグを修正しました。
  • <form> タグで囲まれていない入力要素を含むサイトをクロールするときに、アプリケーションがログイン状態に到達できないことがあるバグを修正しました。
  • Copy ascurl コマンド関数にバグが見つかり、Windows シェルに貼り付けたときに予期しない動作が発生する可能性がありました。その結果、このコマンドのラベルを「curl コマンドとしてコピー (bash)」に変更しました。

ブラウザのアップグレード

注意

すべてのフィードバックがBurpライセンスに起因するように更新しました。Burp エクスペリエンスを継続的に改善し、より的を絞ったサポートを提供します。フィードバックで機密情報が送信されることはなく、いつでもフィードバックをオプトアウトすることができます。

気になるポイント

Burp Scannerの改善

YAML API定義は、2020年のリリース段階でYAMLベースのAPI定義を解析してスキャンできていますので、新しい機能というより改良なのでしょうか。 具体的な内容が記載されていないため、どのような変更があったのか不明です。

portswigger.net

floating input fieldsはCSSテクニックのFloating labelsのことでしょうか。 HTTPリクエストレベルであれば、そもそもCSSやJSの振る舞いは関係がないので、おそらくこのアップデートではHTTPリクエスト内容をチェックするものではなく、DOMの変更を検出してXSSといった脆弱性をスキャンするものだと思われます。

実案件ではあまり見かけないので、どのようなシチュエーションで効果を発揮するのか知りたいですね!

Burp Intruderの改善

デフォルトでペイロードポジションが設定されなくなりました。全選択してClearをする動作を毎回行うのが地味に面倒だったので、良いですね。 intruder前にペイロードポジションを設定する機能は、マウスカーソルで選択された箇所がintruderに送られるとペイロードポジションになるようです。

RepeaterやProxyから選択して、intruderに送ると、そこがポジションとして選択されました。

それでは良きBurpライフを!