Auraditor
Salesforce LightningおよびAuraフレームワークアプリケーションのセキュリティテストのためのBurp Suite拡張機能。
機能
リクエストエディター
- HTTPリクエスト内のAuraアクションを表示・編集
- タブを使ってアクションを追加・削除
- コントローラー名とメソッド名を編集
- 各アクションのJSONパラメータを変更
- 無効なJSONの扱い方を選択
- テキストフィールドでコピー、カット、ペースト
- 可読性向上のために行の折り返しを切り替え
ベースリクエスト管理
- HTTP履歴から複数のベースリクエストを保存
- リクエストにカスタム名でタグ付け
- 保存したリクエストをセキュリティテスト操作に使用
ディスカバリー操作
- JavaScriptファイルからAuraコントローラーとメソッドを検出
- Lightning Web Component(LWC)のエンドポイントを発見
- アプリケーションファイルからAPIルートを抽出
- アプリケーション内で名前によってオブジェクトを検索
ルートテスト
- 検出したルートを自動的にテスト
- レスポンスタイプ別にルートを分類
- 結果をファイルにエクスポート
Salesforce IDツール
- Salesforce IDの構造と形式を解析
- 15文字IDと18文字IDを相互変換
- 連番のSalesforce IDを生成
- Burp Intruder向けのカスタムIDペイロードジェネレーターを作成
- Salesforce ID内の10進数値を変更
開発手法
この拡張機能は、マルチエージェントのワークフローとVibeコーディング手法を用いて開発されています:
- 複数のAIエージェント(例:Claude、ChatGPT)が、
agent.mdで定義された厳格な計画・承認プロセスの下で協働します。 - 各エージェントは
ai-context/tasks/{agent}-latest.mdに実装計画を作成し、変更を行う前にレビューと承認を受けます。 - コミットはメンテナーが作成し、GitHubで認識される
Co-Authored-Byトレーラーを用いて、貢献したAIエージェントが共同署名します。
AI開発ガイドラインとワークフローの全体については、agent.mdを参照してください。
オリジナルからの変更点
- 最新のBurp Suite APIに更新
- アクション管理用のタブを追加
- ダークモードでのテキスト視認性を修正
- テキスト編集用のコンテキストメニューを追加
- リクエスト更新が送信されない問題を修正
- エラーハンドリング用のユーザーダイアログを追加
- Lightningコンポーネント向けのディスカバリー機能を追加
ダウンロード
翻訳元: https://meterpreter.org/lightning-strike-testing-salesforce-security-with-the-auraditor-extension/
ソース: meterpreter.org
