Burp 2024.4.4リリース内容(安定版)

6/4追記 2024.4.4安定版リリースで、2024.4のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

Professional / Community 2024.4.4

Auditの優先順位付け

Burp Scanner は、Auditを実行する前に監査項目に優先順位を付けるようになりました。スキャンで主要な脆弱性を早期に発見できるようになり、短時間で時間制限のあるスキャンでも一貫性と対象範囲が向上します。 Burp Scanner は、次の 2 つのプロパティに基づいて各監査項目のスコアを計算します。

• 関心レベル(Interest level)は、アクションタイプ、コンテンツタイプ、およびアイテムが認証を必要とするかどうかに基づいて、アイテムがさらに手動調査を必要とする可能性を評価します。
• 攻撃対象領域の露出は、監査項目によって公開される一意の挿入ポイントの数に焦点を当てます。
• 項目は異なる順序で監査されるため、スキャン結果の外観が変化する場合があることに注意してください。

Auditの優先順位付けの仕組みの詳細については、ドキュメントを参照してください。

API スキャンの改善

APIスキャンの認証

API スキャンランチャーの[API details] > [Authentication]タブで、API スキャンのエンドポイント認証を設定できるようになりました。 Burp Scanner が認証されたエンドポイントにアクセスできるようになり、スキャン範囲を広げることができます。

Burp Scanner は現在、次の認証タイプをサポートしています。

• BASIC認証
• APIキー認証
• Bearer認証

Burp は、OpenAPI 定義内の特定のエンドポイントにリンクされている認証メソッドを自動的に検出します。さらに、OpenAPI 定義で検出されない認証方法を追加できます。 API スキャンの認証がどのように機能するかの詳細な説明については、ドキュメントを参照してください。

APIパラメータの表示

API 仕様で開始されたスキャンの場合、Burp Scanner のAPI 詳細内に[Parameters]タブが追加されました。これにより、すべてのエンドポイントのパラメータ (名前、値、説明、HTTP リクエスト内での出現場所など) を確認できます。 Burp Scanner は、これらのパラメーターの詳細を使用して、エンドポイントをチェックするときに情報を適切にリクエストする方法を判断し、スキャンされている内容をより簡単に明確に把握できるようにします。 API 定義にサンプル値がない場合は、Burp Scanner が値を生成します。

Webキャッシュデセプションスキャンチェック

Burp Scanner は、Web キャッシュデセプションをチェックできるようになりました。 Web キャッシュデセプションは、攻撃者が URL パスを操作して Web キャッシュを騙し、動的コンテンツを静的コンテンツであるかのように保存および提供し、機密データを漏えいさせる脆弱性です。 これは、動的な URL に偽のファイル拡張子を追加するなどして、細工された URLがキャッシュによって誤って解釈され、権限のないユーザーがアクセスできる機密情報が保存される場合に発生します。

クローラーリクエストのフィルタリング

クローラーは、リクエストが広告ドメインまたは追跡ドメインに送信されるかどうかを判断するようになりました。これらのリクエストは自動的にドロップされ、不要なトラフィックをフィルタリングして除外することでパフォーマンスの向上に役立ちます。 必要に応じて、これらのドメインをスキャン範囲に追加することで、引き続きクロールできます。

パフォーマンスの向上

• デフォルトでは、Burp はプロキシからのアウトバウンドリクエストに対して HTTP/1 接続を再利用するようになりました。これにより、ブラウザの読み込み時間が短縮される可能性があります。この機能に関して問題が発生した場合はお知らせください。サーバーがサポートしている場合は、[Settings]メニューの[Proxy] > [Miscellaneous]で[Use keep-alive for HTTP/1] を無効にすることもできます。
• テーブル内の結果を素早く切り替えるとプロキシ履歴に遅延が生じる問題を修正しました。

品質の向上

• Uninteresting headersをユーザー設定に追加しました。これにより、Burp のデフォルトの動作がメッセージエディターのPrettyタブで興味のないヘッダーを表示するか非表示にするかを選択できるようになります。これを一度設定すると、マシン上のすべての Burp インストールのすべての新しいエディターに適用されます。
• サイト マップのコンテンツの整理方法が変更されました。ツリー ビューは、最初にルート ドメインごとに、次にサブドメインごとにアルファベット順に編成されるようになりました。これにより、兄弟ドメインが隣り合って配置され、ナビゲートが容易になります。
• リピーターの検索結果に、関連するリピーターのタブ番号と履歴項目番号が表示されるようになりました。結果を右クリックして[Repeater] タブに移動を選択すると、関連するリクエスト/レスポンスのペアにすばやく切り替えることができるようになりました。

バグの修正

• 多数のInsertionポイントを含むリクエストを処理するときにBurpが大量のメモリを消費する原因となったバグを修正しました。 isolatedスキャンでグローバル ホスト履歴が使用される原因となったバグを修正しました。これにより、他のタスクのためにスキャンされた場合、一部のアイテムがスキャンされなくなりました。
• [All issues]ページの問題に[Extension]コンテキスト メニュー オプションを再追加しました。これは誤って削除されました。
• 複雑な正規表現でタイムアウトになることがある JavaScript 正規表現チェックを修正しました。

気になるポイント

Auditの優先順位付け

Insertionポイントが多い箇所から優先されて検査されるなど、検査の順が変わるようです。走査されない項目があるとかではないのですが意図していない順に走査されたり、リクエスト順が重要な場合において、Burpの内部動作を詳しく知る必要があるのであれば、優先順位のドキュメントを確認しましょう。

Webキャッシュデセプションスキャンチェック

Webキャッシュの設定不備に起因する脆弱性、Web Cache Deceptionをチェックできるようになりました！
どのような検査ロジックなのか気になりますね。
なんとなく、キャッシュキーを特定した後、静的ファイルパス(/style.cssなど)のように見せかけた細工リクエストを送信してキャッシュされるかどうかを検査するのかなと思うのですがペイロードも含めて気になります！