Burp 2024.3.1 アーリーアダプター版 リリース内容

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

Professional / Community 2024.3.1

Bambdas を使用したカスタム テーブルカラム

Bambdas を使用して、 HTTP history, WebSockets history、およびLoggerテーブルにカスタムカラムを追加できるようになりました。
これらのカスタムカラムを使用すると、テーブル内の項目に関する追加の詳細を表示して、特定の焦点に基づいてよりカスタマイズされた分析を行うことができます。
この機能はBurp Suite Professionalでのみ利用可能であることに注意してください。

Burp Collaboratorサーバー設定の上書き

Burp Collaborator サーバーをユーザー設定として追加しました。これは、プロジェクトごとに Collaborator サーバーを個別に設定する代わりに、一度設定すれば、マシン上のすべての Burp インストール時に適用できるようになります。
特定のプロジェクト用に Collaborator サーバーをカスタマイズする必要がある場合でも、 [Override options for this project only(このプロジェクトのみ上書きするオプション)] 切り替えをオンにすることでカスタマイズできます。

APIパラメータの表示

API specificationで開始されたスキャンの場合、Burp Scanner のAPI details内に[Parameters]タブが追加されました。
これにより、すべてのエンドポイントのパラメータ (名前、値、説明、HTTP リクエスト内での出現場所など) を確認できます。
Burp Scanner は、これらのパラメーターの詳細を使用して、エンドポイントをチェックするときに情報を適切にリクエストする方法を判断し、スキャンされている内容をより簡単に明確に把握できるようにします。 API definitionにサンプル値がない場合は、Burp Scanner がサンプル値を生成します。

「Pretty」タブで興味のないヘッダーを非表示にする

メッセージ エディターの[Pretty] タブには、 Sec-Ch-Ua、Accept-Language、などのヘッダーを非表示にするオプションがUpgrade-Insecure-Requests追加され、ビューを整理してより関連性の高い情報に集中できるようになりました。

その他の改善点

• Bambdasの Java バージョンを 21 にアップグレードしました。
• スキャナーのクロール パス ビューにはレンダリングされた DOM が含まれるようになりました。これにより、動的変更後の最終的なページ構造についてより明確な情報が得られます。
• API specificationでサポートされていない機能のためにBurpがスキャンしないエンドポイントを特定できるようになりました。これにより、APIスキャンの範囲を明確にし、欠落しているエンドポイントに関する混乱を軽減するのに役立ちます。
• アクティブでないエンドポイントのパラメータは、 [API details] > [Parameters]ビューでグレー表示 (非アクティブ) で表示されるようになりました。

バグの修正

• 拡張機能によって作成されたタブが Burp Suite の検索結果に表示されない問題を修正しました。
• [ターゲット] > [サイト マップ] が常に更新されて正しいリクエスト/レスポンスが表示されない問題を修正しました。
• クロール パスビューの読み込み時間が遅くなる問題が修正され、待ち時間が大幅に短縮されました。
• スキャナーのパフォーマンスの問題が修正され、大規模な応答をより効率的に処理できるようになりました。

ブラウザのアップグレード

Burp の内蔵ブラウザを、Linux と Windows の場合は 123.0.6312.58、MacOS の場合は 123.0.6312.59 にアップグレードしました。詳細については、Chromium リリース ノートを参照してください。

気になるポイント

「Pretty」タブで興味のないヘッダーを非表示にする

メッセージエディタに新しいアイコンが追加されました(一番左側の目のアイコン)。

 

 

実際に試してみます。

Before:

 

After:

 

ブラウザが勝手につけて送っている Sec-*ヘッダーが消えるのは嬉しいですね。
更に良い事に、この非表示機能を有効化にした状態で「Copy」や「Copy to file」を実行しても、クリップボードにコピーされるリクエストはフル表示の状態でした！ 報告書やエビデンスを残す際の記録作業でフルのリクエストをコピーしたい場合でも、非表示機能の状態を確認する必要がないので診断時に超便利になりそう！