SNSでシェア
Burp 2024.5.3 安定版 リリース内容
7/5追記 2024.5.3安定版リリースで、2024.5のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。
はじめに
この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。
原文をご確認されたい方は、公式のリリースノートをご覧ください。
Professional / Community 2024.5.3
Burp Scanner の WebSocket サポート
内部プロキシの設定を更新し、WebSocket トラフィックを許可しました。 Burp Scanner は、WebSocket ベースの記録されたログインを含む、WebSocket に依存するサイトをクロールできるようになりました。Burp Scanner は WebSocket トラフィック自体をスキャンしないことに注意してください。
記録されたログインUIエディター
記録されたログインのエディターを改良しました。以前は、JSON ファイルを手動で編集する必要がありました。「Edit Recorded Login」ダイアログに「See as events」ビューが追加され、シーケンス内のイベントがフォーマットされたテーブルに表示されます。
JSON ファイルを手動で変更することなく、シーケンス内のイベントを追加、編集、削除することができます。
WebSocket の一致と置換ルール
matchおよびreplaceのルールを設定して、WebSocket メッセージがプロキシを通過するときにその一部を自動的に置換できるようになりました。これまでは、 HTTP メッセージでのみ使用可能でした。
WebSocket の一致および置換ルールを使用すると、「<」、「>」、「”」、「`」 といった特殊文字の HTML エンコードなど、クライアント側のセキュリティ制御をより簡単にバイパスできるようになります。
さらに、ユーザー権限をより簡単に変更して、非表示の機能にアクセスできるようになります。
クライアント側SQLインジェクションの冗長スキャンチェックを削除
※ 2024.5.3の安定版で追加
Burp Scanner はクライアント側 SQL インジェクションのいくつかのバリエーションをテストしていました。
WebSQL データベースAPI を使用して、ブラウザで実行されるデータベースの作成および操作する Webの潜在的な脆弱性です。
WebSQL は広く採用されたことはなく、主要なブラウザではサポートされなくなりました。これらのスキャン チェックは不要であると判断したため、削除しました。
QOLの向上
次のようなQOL向上を実現しました:
- 各宛先ホストに対して複数のプラットフォーム認証情報を構成できるようになりました。これは、[Settings]、[Netowrk] > [Connections] > [Platform authentication]で行います。さまざまなユーザーに対してプラットフォーム認証をすばやく有効または無効にできるようになり、たとえばアクセス制御をより簡単にテストできるようになります。
- Burp のシングル パケット攻撃の精度が向上しました。小さな競合ウィンドウでのレースコンディションの脆弱性をより効果的に検出できるようになります。
パフォーマンスの改善
以下のパフォーマンスが改善されました:
- 特に多数の拡張機能を実行するユーザー向けに、メモリ使用量を削減しました。拡張機能タブは、対応するツール タブが選択されたときのみ読み込まれるようになりました (たとえば、対応するRepeaterまたはProxy historyタブが選択されたとき)。一度読み込まれると、拡張機能タブは切り替えても状態を保持します。
- 以下の変更を加えることで、ユーザー インターフェースの遅延が軽減されました。
- 大きなプロジェク ファイルを持つユーザーがテーブル列を並べ替えると Burp がフリーズする問題を修正しました。
- 多数の履歴項目が選択されている場合に、Proxy historyからタブを切り替えるのにかかる時間を短縮しました。
- 特に大きな表の「メモ」列で並べ替える場合、メモへのアクセスが大幅に高速化されました。
バグの修正
以下のバグを修正しました:
- ホットキーのハイライト設定が、以前のハイライト色と一致するように自動的に更新されませんでした。
- 攻撃中にIntruder tableフィルターを更新しても、攻撃の実行中に新しいメッセージに適用されませんでした。
- BChecks バリデーターは特定の正規表現文字列の問題を検出できなかったため、誤った検証が成功していました。
- 末尾の
#文字が原因で、BCheck 検証が誤って失敗していました。 - クローラーが、userId有効なユーザー名フィールドと呼ばれるフィールドを認識できませんでした。
気になるポイント
記録されたログインUIエディター
今までは、JSONファイルを直接編集する必要がありました。
今回のアップデートでJSONではなく、UI上でイベントを編集することができるようになりました。
「See as Events」をクリックすることで、JSONからイベントビューに切り替わり、ブラウザの操作ごとに編集できるようになっていますね。
また、各操作の編集もUI上から行えるようです。
これはかなり使いやすくなったのではないでしょうか!
クライアント側SQLインジェクションの冗長スキャンチェックを削除
Scannerのスキャンチェック項目が削除されたようです。私がリリースノートを見始めるようになってからは恐らく初めてです。
- SNSでシェア
