SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2023.11.1.3 安定版 リリース内容

12/13追記 2023.11.1.3安定版リリースで、2023.11のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

portswigger.net

マニュアルGraphQLテストツール

GraphQL リクエストの表示と編集

BurpはターゲットからのGraphQLリクエストを検出すると、リクエストのメッセージエディタにGraphQLタブを追加します。このタブは、GraphQL クエリをリクエストの残りの部分から分離し、クエリ構造とそれに関連付けられた変数を簡単に表示および編集できるようにフォーマットします。

イントロスペクションクエリの生成

数回の短いクリックでイントロスペクション クエリを生成して送信できる機能が追加されました。さらに、イントロスペクション クエリの結果をサイト マップに保存すると、GraphQL API の攻撃対象領域と潜在的な脆弱性の明確な概要が得られます。

BChecks のシンタックスハイライト

BChecks エディターにシンタックスハイライトの機能を追加しました。エディターではキーワード、リテラル、関数、変数に自動的に色が付けられるようになり、BCheck 定義の読み取りと編集が容易になりました。

新しいスキャン チェック: アクセス制御の破損(Broken access control)

アクセス制御の脆弱性に対する実験的な新しいスキャン チェックを追加しました。 生成される誤検知の数を減らすためにこのチェックを改良していますが、通常の監査精度を使用する場合はこのチェックを無効にしました。これを試すには、監査構成から[Audit optimization] > [Audit accuracy]に移動し、[Minimize false negatives]を選択します。

壊れたアクセス制御の脆弱性について詳しく知りたい場合は、Web Security Academy の「アクセス制御」トピックを参照してください。

その他のアップデート

次のような改良を加えました。

  • Bmbda にメモとハイライトオプションの追加。
  • Burp Scanner は、OpenAPI 仕様をスキャンするときにパス パラメーターの例を自動的に生成するようになりました。これは、スキャン中に欠落するページが少なくなることを意味します。

バグの修正

  • リピーターでのリクエストのケトリング(※)に関する問題。
  • 脆弱性の分類は、拡張機能によって生成されたレポートには表示されません。

※ kettling: Kettled Requestのこと。

気になるポイント

マニュアルGraphQLテストツール

GraphQLの手動検査がエクステンションなしで出来るようになりました! デフォルトでは操作しにくかったので、非常に便利ですね。 テストツールは後日さわってみたいと思います。

新しいスキャン チェック: アクセス制御の破損(Broken access control)

新しいスキャン項目が追加されました。アクセス制御の破損を簡単に説明すると、管理権限に昇格できてしまうといった脆弱性や異なる組織の情報が見えてしまうような脆弱性です。
一般的には「認証・認可制御の不備」や「アクセス制御の不備」と呼ばれる診断項目であり、弊社では「権限のない機能の利用」などで指摘することが多いです。ここでは「アクセス制御の不備」 で統一したいと思います。 アクセス制御の不備に関する脆弱性は、その殆どがアプリケーションのロジックに起因する問題であり、ツールでは見つけにくく、手動診断で見つけやすい脆弱性の代表格といえるものです。
デフォルトでは無効になっていることから、やはりツールでの検出は難しいということだと思いますが、どのように実装されているのか気になりますね。