7/26追記 2023.6.2安定版リリースで、2023.7のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

portswigger.net

Burpのレイアウトカスタマイズ

Burpのトップレベルタブのレイアウトをカスタマイズできるようになりました。好みに合わせてBurpのユーザーインターフェースを微調整することができます。

• タブの順序変更
• タブを切り離し。タブまたはタブのグループを新しいウィンドウで開くことができます。ワークスタイルに合わせて窓を開けたり配置したりできます。
• タブを非表示。表示できるタブの数を制限し、より頻繁に使用する特定のツールや拡張機能に焦点を当てることができます。

Burp を起動するたびにタブの順序を変更する必要はありません。

スキャナーの改善

Burp Scannerに次のようないくつかの改善を加えました。

• Crawl Paths > Outlinksタブに Status カラムを追加し、Burp Scanner がクロール内の各場所を検出するために実行したアクションに関する詳細情報を提供します。
• Shadow DOM 要素を含む記録されたログイン シーケンスを再生できるようになりました。

その他の改善点

• Burp Suiteを閉じるときに表示される確認ダイアログをオフにする設定を追加しました。Settings > Suite > Burp's closing behaviorで確認できます。
• Numbersペイロードタイプを選択すると、デフォルトで数値フィールドに値が入力されるように Burp Intruder を設定しました。
• Burp Intruder のペイロード プレースホルダーを標準化し、ペイロードの設定を簡単にしました。

バグの修正

• 拡張機能によって生成されたエディター タブのコンテンツが正しく更新されるようになりました。
• Burp のブラウザは、HTTP URL に対する HTTPS リクエストを誤って送信しなくなりました。
• Burp Scannerは、Burpが認識しないフォントファイルまたはコンテンツタイプをスキャンするときに誤ってContent Type Incorrectly Statedを報告しなくなりました。
• ライブパッシブ監査は、有効としてマークされているパッシブ BCheck を実行するようになりました。

気になるポイント

Burpのレイアウトカスタマイズ

Burpのタブは前から移動できましたが、切り離しは今回のバージョンからになりますね。 前回実装されたOrganizerと組み合わせることで、よりエビデンス取りが簡単になりそうです。

使用例として、画像のように片側でRepeaterでリクエスト送りながら、もう片方でOrganizerを表示してメモをする。なんてシチュエーションも考えられますね！