はじめに
この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。
原文をご確認されたい方は、公式のリリースノートをご覧ください。
Brotli圧縮のサポート
サポートされる圧縮タイプのリストに Brotli を追加しました。 Brotli で圧縮されたメッセージをProxyとRepeaterで解凍することができます。
Montoya APIの変更
Montoya API を介して Burp Organizer にリクエストとレスポンスを送信できるようになりました。
スキャナーの改善
Burp Scanner には次のような改善が加えられました。
全体的なロード時間の内訳
[Crawl Path]タブに、ページの全体的な読み込み時間の内訳を示すホバー オーバーを追加して、初期読み込み時間、バックグラウンド リクエストの待機時間、ページが安定するまでの待機時間を表示するようにしました。
スキャンの進行状況インジケーター
- 現在のクロールの深さと保留中のアクションの数が、 [Crawl Path]タブの[First crawl path to location]パネルに追加されました。
- 保留中の URL (クローラーが見つけたもののまだリクエストを送信していないリンク) が、[Site map]タブの[Tree viewパネルに追加されました。
その他のスキャナーの改善点
- ページが安定するまでの待機時間が短縮され、ページの全体的な読み込み時間が短縮されました。
- 記録されたログイン シーケンスの機能を改善しました。
バグ修正
- Montoya または Wiener API を使用するときに、一部の拡張機能が誤ったindexOf() 値を返す原因となるバグ。
- 非表示のタブにリクエストまたはレスポンスが送信されたときに、非表示のタブが非表示のままになるバグ。
- Burp の検索のバグ。結果が見つかった場合でも、リクエスト パネルとレスポンス パネルにハイライトが 0 つあったと表示されるバグ。
気になるポイント
Brotli圧縮のサポート
そもそもBrotliとは、2015年頃にGoogleによって開発されたデータ圧縮アルゴリズムです。サーバーとの通信量を減らすため、クライアントとサーバーの両者で認識できる圧縮アルゴリズムを使用します。Brotliよりも古いアルゴリズムだと、gzipやdeflateなどがあります。
Brotliを使用したい場合は、クライアント側で以下のようなヘッダーを設定してリクエストします。
Accept-Encoding: br
今回のアップデートでBrotliで圧縮されたレスポンスでもBurp上で解凍することができるようになりました。
gzipやdeflate もサポートしているサーバーが殆どだと思うので、普段の診断ではあまり関係なさそうですが、ブラウザと同じ挙動を確認したい時において圧縮アルゴリズムも揃えたいというニーズに対応できそうです。(そんなニーズがあるのかは知りません)