SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2023.12.1.3 安定版 リリース内容

2/2追記 2023.12.1.3安定版リリースで、2023.12.1のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

portswigger.net

Bamdasを使用した高度フィルタリング

このリリースでは、Burp の 2 つの新しい領域に Bambdas が導入されています。

  • Proxy > WebSockets history filter.
  • Logger > View filter.

また、Bamdas GitHub リポジトリも作成しました。コミュニティ メンバーからの投稿を参照したり、独自の Bambdas を投稿することができます。

改善されたダッシュボード

画面上のスペースを有効活用するために、ダッシュボードのデザインを完全に再設計しました。 追加のポップアップ ウィンドウを開かなくても、スキャンやその他のタスクに関する詳細情報を確認できるようになりました。 これらすべての情報を表示するスペースを確保するために、イベント ログと問題のリストを折りたたみ可能なパネルに移動しました。このパネルには、画面下部のドックからアクセスできます。

Burp のテーブルの使いやすさ向上

Burp のデータテーブルに対する大幅な使いやすさを改善しました。 ほとんどのテーブルでは、並べ替えとフィルタリングに加えて、次のことができるようになりました。

  • 列の順序を変更
  • 列を非表示

Burp はテーブルのレイアウトに加えた変更を記憶しており、新しいプロジェクトを作成するとき、または既存のプロジェクトを開くときに設定が適用されます。

Repeaterタブを複数コピーする機能

グループ化されたRepeaterタブのコピーを一度に複数作成できるようになりました。 同一のリクエストを作成するプロセスがはるかに効率化されるため、競合状態の脆弱性をテストする場合に役立ちます。

LoggerのConnection ID列を追加

Loggerに Connection ID 列を追加しました。これにより、どのリクエストが同じコネクションを使用したかを確認できるようになります。これにより、同じコネクションで送信された以前のリクエストに基づいて、ウェブサイトの動作が変化したかどうかを検出しやすくなります。

その他の改善点

  • 右クリック メニューにBCheck のフォーマット アクションを追加しました。BCheck を記述するときに空白とインデントを自動的に調整できます
  • Scannerがブラウザを使用したスキャンのAuditフェーズでメモリ使用量をより効率的に管理できるようになりました。
  • Scannerが、非標準の JSON エンドポイントの Content-Type に一致するリクエストを送信できるようになりました。
    • 例) application/json-patch+json , application/*+json
  • Scannerが、OpenAPI スキーマをスキャンするときに、クエリ文字列パラメーターとして配列を送信できるようになりました。
  • Scannerが、スキャン中にアプリケーションのさまざまな領域にある重複アイテムをより適切に識別し、無視できるようになりました。これは、スキャンが完了するまでにかかる時間を短縮するのに役立ちます。

バグの修正

Repeaterの Save item または Save entire history をクリックすると Notes が保存されないバグを修正しました。

気になるポイント

Bamdasを使用した高度フィルタリング

Bamdasが使える箇所が増えました。また、ユーザーコミュニティによるBambdasの使用方法の共有も行われるようになりましたね。 たまに覗いて、診断で活かせそうなBamdasを探してみるのも面白いでしょう。

改善されたダッシュボード

最初に開いた画面です。これまでのダッシュボードと比べると画面構成が変わりました。

画面構成は、左・中央・右に分かれています。

  • 左:スキャンタスクの一覧。タスクを選択すると、中央ペインに詳細が表示される。
  • 中央:タスクの詳細。Summary, Audit items, Issues, Event log, Logger, Audit logが確認できる。
  • 右:タスク設定情報とログ。タスクのタイプ(passiveなのかactiveなのか等)や、進捗などが確認できる。

LoggerのConnection ID列を追加

細かい挙動は分かりませんが弊社のサイトにアクセスしたところ、サーバー側のキャッシュが有効な間は、コネクションIDが変わりませんでした。 WebキャッシュポイズニングやTOCTOUの検査に使えるかもしれませんね。