Burp 2024.6 アーリーアダプター版 リリース内容

はじめに

この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。

原文をご確認されたい方は、公式のリリースノートをご覧ください。

Professional / Community 2024.6

OpenAPI定義を検出するためのスキャンチェック

スキャン中およびブラウジング中に OpenAPI 定義を検出するためのアクティブ スキャンとパッシブスキャンのチェック項目が追加されました。 スキャン チェックでは、一般的な OpenAPI 定義ファイル名と場所のリストを使用して、公開されている定義を検索します。これにより、API 定義をより簡単に見つけることができるようになりました。

OpenAPI v2.0定義のサポート

より多くの API をスキャンできるように、OpenAPI バージョン 2.0 定義のスキャンのサポートを導入しました。

ユーザーインターフェースの変更

[Settings] > [User interface] メニューで、Inspector と message editorをの別々のページ (サイド パネルとメッセージ エディター)に分割しました。サイド パネルメニューからインスペクター ウィジェットの設定を調整できるようにしました。

QoLの向上

• 記録されたログインのテキストを、文字列全体ではなく文字ごとに入力できるようになりました。これにより、キーを押したり、押されたキーを放したりすることがよりリアルにシミュレートされます。
• Bup画面下部のドックからイベント ログまたはすべての問題パネルをすばやく開いたり閉じたりするためのホットキーを追加できるようになりました。イベント ログまたはすべての問題パネルを切り離した場合、ホットキーにより切り離されたウィンドウが画面の前面に表示されます。
• プロキシ HTTP Historyなどの大きなテーブルを並べ替えるときに、テーブルの列ヘッダーにスピナーが表示されるようになりました。これにより、並べ替えが進行中であることが示されます。

パフォーマンスの改善

• 大規模なデータセットをフィルタリングする場合や複雑なフィルタ条件を使用する場合のサイトマップ フィルタのパフォーマンスが向上しました。以前は適用に時間がかかっていたフィルタが、数分で完了できるようになりました。
• カスタム列を使用しているときにプロキシ HTTP Historyテーブルをスクロールしても、CPU 使用率が急上昇しなくなりました。

バグの修正

• Repeaterリクエストペインのデフォルトの幅を修正しました。
• プロジェクトファイルが閉じられ、再度開かれると、live auditが再開されるようになりました。
• 攻撃中に行われたIntruder tableフィルターの更新は、攻撃の実行時に新しいメッセージに適用されるようになりました。
• Mac を使用している場合、メッセージ エディターの[Response] > [Rendering]タブでコンテンツが正しく拡大縮小されるようになりました。
• ディスクベースのプロジェクト ファイルのバグを修正しました。Burp バージョン 2024.5.3 では、以前のバージョンの Burp で開始されたクロール タスクを含むプロジェクトの[Target]タブが表示されませんでした。

気になるポイント

OpenAPI定義を検出するためのスキャンチェック

OpenAPI関連の検査環境が徐々に整ってきていますね。OpenAPIを利用した案件もあるので、今後のアップデートにも期待したいです。