Professional / Community 2020.5がリリース

[tigerszk]

Professional / Community 2020.5がリリース

https://portswigger.net/burp/releases/professional-community-2020-5

今回のリリース内容はHTTPメッセージエディタの便利な新機能の追加といくつかの改善のようです。

HTTPメッセージエディタで、非印刷文字を表示するように選択できるようになりました。

これは、タブ、ラインフィード、キャリッジリターン、およびnullバイトを含む、20未満の16進値を持つすべてのバイトでサポートされるとのことです。

この機能は以下のような事例で非常に役に立つことが期待されます。

・レスポンスにおけるバイト値間の微妙な違いの検出

・HTTPリクエストスマグリングの検証

・行末を調査して潜在的なHTTPヘッダーインジェクションの脆弱性の特定

・サーバー側でのnullバイトインジェクションの処理方法の監視

非印刷文字はデフォルトで非表示になっていますが、エディターの下部にある「\ n」ボタンをクリックすることで、オンとオフを切り替えることができます。

なお、現在これらの非印刷文字はメッセージエディタでのみ表示できます。現時点では、Burpの16進ビューを使用してバイトを編集する必要がありますが、近い将来、メッセージエディタで直接編集できるようにするとのことです。

その他以下の改善が行われました。

・実験的なブラウザ駆動型スキャンモード用の埋め込みChromiumブラウザがバージョン83にアップグレード。

・Java 14をProfessional EditionとCommunity Editionの両方でサポート。

・Burp Proxyは、デフォルトでSVGまたはフォントファイルのリクエストをインターセプトしなくなりました。

・静的コンテンツのクロールの高速化

その他、以下のマイナーなバグ修正も行われました。

・401応答について、受信/完了した応答時間が表示されるようになりました。

・応答時間が1ms未満の場合でも表示されるようになりました。

・セッショントレースの実行時に、「Check session is valid」セッションハンドリングルールが適切に適用されるようになりました

・content discoveryツールは、「Session is not running」というメッセージを誤って表示しなくなりました。