最後はAnalyze target 動的URLやパラメータの数などを分析してくれる機能 脆弱性の横展開やパラメータベースで脆弱性を探したい時に便利 #burpjapan
2019-03-11 19:39:55burp賽銭箱!イベント運営費用の寄付募集中です!ステッカーも配布してます! #burpjapan pic.twitter.com/mEWh8ERtQa
2019-03-11 19:49:21自動セッションハンドリングの機能もついたよ。検証したらcsrf_tokenを引継ぎしていることを確認しました。 #burpjapan
2019-03-11 19:59:27アプリケーションのステート変化の検知 例えばカートの中身に応じてコンテンツを買えるような場合に有効 WrodPressのECサイト系プラグインでクローラールしてみたら、ちゃんと注文することができた。 #burpjapan
2019-03-11 20:01:09続いてはスキャン機能 並行スキャンができるようになった。 2系からはタスクという概念で管理するようになった。 #burpjapan
2019-03-11 20:02:12Burp2.0の-自動セッションハンドリング機能-は便利ですな、特に設定なしでCSRF_Tokenを追従してくれるんだ..! #burpjapan
2019-03-11 20:03:17スキャンフェーズ 1系はスキャンの進捗がわからなかったが、各フェーズの進捗が段階ごとに分かるようになった。ただし、全体の進捗はちょっと教えてほしかったかも。 #burpjapan
2019-03-11 20:03:24Javascriptの動的解析 2.0から劇的に検知率が向上(体感)組み込みのヘッドレスブラウザを使用しているよう。通常ブラウザでJSを実行するように解析を行うようになった。 #burpjapan
2019-03-11 20:04:56ためしにjjencodeで難読化したDombase XSSを解析してみたら検知した。(ちなみに1系では検知しなかった)ほーう。なるほど。 #burpjapan
2019-03-11 20:06:25ライブスキャン 1系ではProxy経由の通信のみライブスキャンが可能だが、2系ではProxy、Repeater、Intruderも対象に。 #burpjapan
2019-03-11 20:08:01