はじめに
この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。
原文をご確認されたい方は、公式のリリースノートをご覧ください。
エディターでBCheckのテスト
エディター内から BCheck をテストできるようになり、手動でスキャンを実行しなくても、チェックが期待どおりに機能しているかどうかを確認できるようになりました。
BCheck テストは、事前に選択されたリクエストとレスポンスをテスト ケースとして使用します。テストを実行すると、Burp Scanner は選択した HTTP メッセージに対して BCheck を実行し、結果を報告します。
新しい BCheck テスト機能の詳細については、「BCheck のテスト」を参照してください。
Repeaterタブでノートの作成
Repeaterタブにノートを追加できるようになりました。この機能を使用すると、タブに関する重要な情報を記録できるため、後で簡単に見直すことができます。アイテムをOrganizerに送信すると、Organizerのエントリには既存のノートの内容が含まれるようになります。
Repeaterノートを記録するには、タブのサイドバーで[Note]パネルを選択し、必要なテキストを入力します。
空の BCheck テンプレート
BCheck を作成するときに、デフォルトのチェックの 1 つをコピーして変更するのではなく、空のテンプレートから開始できるようになりました。
新しいテンプレートをBCheck テンプレートリストに追加しました。このリストは、新しい BCheck を作成するときに表示されます。
スキャナーの改善
クローラーはターゲット項目の利用可能な代替テキストにアクセスできるようになります。これにより、 [Crawl Path]タブに表示される情報の品質を向上させることができました。
- Issue Activity Dashboardパネルに 3 つの新しいフィルター ボタンを追加しました。
- BCheck generated: リストをフィルター処理して、BCheck によって特定された問題のみを表示します。
- Extensions: 機能によりリストがフィルター処理され、拡張機能によって生成されたスキャン チェックによって特定された問題のみが表示されます。
- Scan checks: リストをフィルタリングして、通常の Burp スキャン チェック (つまり、BCheck または拡張機能ではないスキャン) によって検出された問題のみを表示します。
Montoya API の Brotli および Deflate デコードのサポート
Montoya API のデコード メソッドは、Brotli エンコーディングと Deflate エンコーディングをサポートするようになりました。
デコーダの改善
パディングなしで Base64 文字列を Decoder に渡すと、パディングされているかのように文字列がデコードされるようになりました。 これによりDecoder の動作が Inspector の動作と一致します。以前の Decoder では、文字列が渡される前に適切なパディングを追加する必要がありました。
バグの修正
- 以前は、特定の状況において、[Send to Repeater]コンテキスト メニュー オプションを実行した際に、WebSocket タブをRepeaterに送信していなかった問題を修正しました。
- BCheck バリデーターの問題を修正しました。defineブロックの外側で変数が誤って定義されていても、チェックで検証が失敗することはなくなりました。
- リクエスト/レスポンス ビューアで大きなレスポンスを表示および検索する際のパフォーマンスの問題をいくつか修正しました。
気になるポイント
Repeaterタブでノートの作成
最近のBurp Suiteは記録関連の機能拡張が多いですね。以前実装されたOrganizerで一元的に管理できるようにRepeaterにもノート機能が備わりました。
エディターでBCheckのテスト
BCheckテンプレートの検証がエディター内で出来るようになりました。どこかでBCheckの検証したい・・・。