SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2024.1.1 アーリーアダプター版 リリース内容

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

portswigger.net

Insertion pointsパネル

Burp Scanner の[Audit items]タブに[Insertion points]パネルを導入しました。この新しいパネルには、リクエストのすべてのInsertion pointsがリストされ、スキャナーがカバーする攻撃対象領域の範囲を把握するのに役立ちます。
パネルはInsertionPointsをツリー ビューに編成し、次の 3 つの主なタイプに分類します。

  • Detected(ベース リクエストから識別されたもの)
  • Moved(リクエスト内の既存のパラメータが移動された後に識別されたもの)
  • Added(新規パラメータの後に識別されたもの)パラメータがリクエストに追加されました)

また、ネストされたInsertionPoints (デコード時に追加のInsertionPointsが表示されるエンコードされたInsertionPoints) を識別し、これらを階層的に表示します。このパネルには、各InsertionPointsのステータス ( Pending、Audited、Skippedなど) も表示され、スキャン構成とInsertionPointsの動作に基づいてスキャナーが実行したアクションが反映されます。

Burp Suite のテーブルの使いやすさの向上

IntruderおよびProxyデータ テーブルを含めるなど、大幅なユーザビリティの改善の展開を継続してきました。並べ替えとフィルタリングに加えて、次のことができるようになりました。

  • 列の順序変更
  • 列の非表示

Burp はテーブルのレイアウトに加えた変更を記憶しており、マシン上で新しいプロジェクトを作成するとき、または既存のプロジェクトを開くときに設定を適用します。

ネイティブ Windows ARM64 ビルド

ARM64 デバイスでのパフォーマンス向上のために最適化された、Windows 用のネイティブ ARM64 ビルドを導入しています。新しいビルドは Web サイトから直接ダウンロードできます。自動更新がオンになっている ARM マシンで x64 バージョンを使用している場合は、今後の更新で ARM64 バージョンに自動的にアップグレードされます。

その他の改善点

  • Burp Suite Professionalでは、検索機能にアクセスしやすくするために、タブバーに新しい検索アイコンを追加しました。この変更はBurp Suite Community Edition には影響しません。
  • アクセスしやすくするために、[Target] > [Scope]タブを再導入しました。設定メニューからも引き続きアクセスできます。
  • ダッシュボードを更新して、適用されたフィルターが下部のドック タブに表示される通知に影響を与えるようになりました。これは、無関係な通知が表示されなくなることを意味します。
  • イベント ログの感度を調整し、「プロキシが実行中」通知など、起動時に常に発生するメッセージがデバッグ レベルで記録されるようにしました。
  • 「アップデートのインストール準備完了」通知を強化し、新機能の簡単な説明と詳細なリリース ノートへのリンクを追加しました。
  • [GraphQL]タブのクエリに構文の強調表示と自動インデントが追加され、クエリの読み取り、書き込み、編集が容易になりました。
  • HTTP Historyテーブルに「Start response timer」列を追加しました。これにより、応答が開始されるまでにかかる時間を監視できます。

バグの修正

以下を含むいくつかのバグを修正しました。

  • タブのドラッグ感度が高すぎるため、タブが誤って別のウィンドウに切り離されてしまうことがありました。
  • RequestOptionsMontoya API が期待どおりに動作しませんでした。
  • Montoya API を使用してスコープに項目を追加すると、期待どおりに機能しませんでした。
  • WOFF2 コンテンツ タイプが誤って識別され、その結果、誤った「コンテンツ タイプが正しく記載されていない」脆弱性が発生していました。

ブラウザのアップグレード

Burpの内蔵ブラウザをMacおよびLinuxでは121.0.6167.85に、Windowsでは121.0.6167.85/.86にアップグレードしました。詳細については、Chromium リリース ノートを参照してください。

気になるポイント

Insertion Points

説明だけ聞くと分かりにくいですが、Scannerが検査値を注入したポイント(パラメータやクッキーなど)が表示されるようになりました。 Burpがどこを検査して、どこをスキップしたのかが分かるようになりました。

issueの通知

これは今回のアップデートではなく、2023.12.1.1に含まれるアップデートですが、Burpのウィンドウ下部にissueの通知を色分けで表示してくれるようになりました。

青い点の場合、新しい情報のissueや重大度の低いissueが発見されたときに表示されます。 赤い点は、青よりも重要なissueを発見したときに表示されるようです。

小さい改善ですが、アクセス性が良くなってますね。

スケーリング設定

これも今回のアップデートに含まれているものではありませんが、いつのまにかBurpがめちゃくちゃデカくなっていました。 スケーリングの問題なので、スクショだと分かりにくいですが、私のディスプレイ上では拡大表示されてしまい、見栄えが悪いです。

この問題は、[Settings] -> [User interface] -> [Display]のScaling設定を変更すると解決できる場合があります。