SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

2023年Burp Suiteのリリースを振り返る

はじめに

Potion CraftがSwitchで発売されたので、ポーション作りにハマって仕事のやる気が起きない岩間です。
今年からBurpのリリースノートを翻訳記事を公開し続けて、早いもので一年が経ちました。あっという間です。
この取り組みは、新しいバージョンがリリースされたら社内で共有していた情報を、外部向けにも公開しようとしたことが始まりです。
「Burpというニッチな記事に興味ある人なんているのか?」と思いながら、好きで記事を書いてましたが、幸い、外部の方から「記事を読んでます」というお声を頂いており、「意外と読まれているんだな・・・」ということを実感しています。

さて、そんなBurp Suiteリリースノートの記事ですが、今年のリリースノートについて振り返ってみようと思います。

アップデート回数

2023年1月から12月28日までの間に、合計61回(※)ものアップデートがありました!

  • Stable版 33回
  • Early Adopter版 28回

※ Enterprise版やDastardlyは含めていません。Burp Suite ProfesionalおよびCommunityのみのリリースカウントです。

1~3月

  • Montoya API 1.0.0 のリリース
  • [Burp Scanner] ポップアップ系のログイン機能に対するクロール性能向上
  • Montoya API Websocketサポート
  • Windows Server 2012, Win7, Win8, Win8.1との互換性終了
  • [Intruder] Collaboratorが使用可能に
  • [Burp Scanner] SPAスキャン性能向上

techblog.securesky-tech.com techblog.securesky-tech.com techblog.securesky-tech.com

4~6月

  • 表示スケーリングの改善
  • Linux ARM64サポート
  • Burp Organizerのリリース
  • ライブクロールパスビューの追加
  • カスタムスキャンチェック BCheckの追加
  • [Burp Scanner] GraphQL対応

techblog.securesky-tech.com techblog.securesky-tech.com techblog.securesky-tech.com

7~9月

  • カスタマイズ可能なUI
  • [Intruder] HTTP/1コネクションを再利用した検査スピードの高速化
  • [Burp Scanner] GraphQLイントロスペクションクエリを送信
  • [Repeater] グループ単位の並列同時送信
  • Brotli圧縮サポートの対応

techblog.securesky-tech.com techblog.securesky-tech.com

10~12月

  • BCheckエディターの追加
  • Bcheckのエクスポート
  • メモ機能の追加
  • Bambdasを使用した高度フィルタリング
  • GraphQLマニュアルテストツールの追加
  • 新しいスキャンテンプレート:アクセス制御の破損
  • ダッシュボードの刷新
  • Bamdasを使用した高度フィルタリング(追加)

techblog.securesky-tech.com techblog.securesky-tech.com techblog.securesky-tech.com techblog.securesky-tech.com techblog.securesky-tech.com

さわってみた系記事

個人的に興味ある機能については別記事にして機能紹介をしています。

techblog.securesky-tech.com techblog.securesky-tech.com techblog.securesky-tech.com techblog.securesky-tech.com

振り返り

Burp Suiteは、診断用のプロ向けツールという印象が強く、最近ではBugBounty向けの機能にリリースされています。
今年の注目点は、プロ向けの機能追加は継続される一方で、業務利用やチーム利用支援が想定された管理系機能のアップデートが特に顕著でした。

また、BamdasやBCheck、Montoya APIなど、カスタマイズ性を重視した機能アップデートも今年は多く見られました。 GraphQL関連の診断機能も、スキャナーおよび手動診断の両方にわたって機能追加がありました。 UIも徐々に改善しており、今後の機能追加や改善にも期待が高まります。

振り返ってみると色々な機能アップデートがありましたね。来年はどのような機能がリリースされるのか楽しみです!

それではよいBurpライフを!