トップ 開発環境 Burp Suite
Burp Suiteは、手動もしくは自動のセキュリティテストをサポートするWebアプリケーション脆弱性診断ツールです。
以下は目次になります。
1. Burp Suiteとは
2. Burp Suite Community Editionのダウンロード
3. Burp Suite Community Editionのインストール方法
4. Burp Suite Community Editionの起動方法
5. Burp SuiteのProxyの使い方
6. Burp SuiteのRepeaterの使い方
Burp Suiteは、手動もしくは自動のセキュリティテストをサポートするWebアプリケーション脆弱性診断ツールです。
Burp Suite Community Editionは無料で使用できます。 Burp Suite Professional以上はライセンスの購入が必要です。
以下より、Burp Suite Community Editionの最新バージョンをダウンロードします。
以下は、Burp Suite Community Editionのダウンロードページのイメージです。
以下は、ダウンロードしたBurp Suite Community Editionのインストーラーのイメージです。
インストーラを実行しインストールします。以下は開始画面です。
開始画面の次はディレクトリ選択です。
ディレクトリ選択の次はメニューフォルダ選択です。
メニューフォルダ選択の次は完了画面です。
Burp Suiteを起動します。プロジェクトファイルと構成の選択を求められたら、 [Next] をクリックし、 [Start Burp]をクリックして、ここではスキップします。
以下は、Windows11の場合の起動イメージです。まずはすべてのアプリのアイコンをクリックします。
その次は規約にチェックします。
その次はプロジェクト選択です。ここではスキップします。
その次は設定です。ここではそのままにします。
その次は起動後に最初に表示されるダッシュボードです。
Burp Proxyでリクエストをインターセプトする機能が便利です。 Burp Proxyを使用すると、Burpのブラウザとターゲットサーバの間で送信されるHTTPリクエストおよびレスポンスを代行受信できます。 これにより、さまざまなアクションを実行したときのWebサイトの動作を調べることができます。
Burp SuiteのProxyの使い方について解説していきます。
Proxy>Interceptタブに移動し、「Intercept is off」ボタンをクリックして、 「Intercept is on」に切り替えます。
「Open Browser」をクリックします。するとBurpのブラウザが起動します。 Burpのブラウザは直ぐに使えるように設定されています。
BurpとBurpの両方のブラウザが表示されるようにウィンドウを配置します。
Burpのブラウザーを使用してページにアクセスし、サイトが読み込まれないことを確認します。 Burp Proxyは、サーバに到達する前にブラウザによって発行されたHTTP要求を代行受信しました。 この代行受信された要求は、「Proxy>Intercept」タブで確認できます。
リクエストはここに保持されるので、ターゲットサーバーに転送する前に調査したり、変更したりすることができます。
ページがBurpのブラウザーに読み込まれるまで、 「Forward」ボタンを数回クリックして、インターセプトされた要求とそれ以降の要求を送信します。
ブラウザーが通常送信する要求の数が多いため、すべてを傍受したくない場合があります。 その場合は「Intercept is on」ボタンをクリックして「Intercept」がオフにします。
ブラウザーに戻ると、通常通りサイトの操作をできるようになっています。
Burpで、「Proxy>HTTP history」タブに移動します。ここでは、代行受信がオフになっている場合でも、Burp Proxyを通過したすべてのHTTPトラフィックの履歴を確認できます。 履歴内の任意のエントリをクリックすると、未加工のHTTP要求と、それに対応するサーバからの応答が表示されます。
これにより、通常どおりWebサイトを探索し、Burpのブラウザーとサーバー間のやり取りを後で調べることができます。
今度は、Burp Proxyでインターセプトされたリクエストを変更する方法について説明します。
まずBurpで「Proxy>Intercept」タブに移動し、interception offになっていることを確認します。
確認したら、Burpのブラウザを起動してターゲットの前のページを表示します。
そして、Burpで「Proxy>Intercept」タブに移動し、interception onに切り替えます。 ブラウザーでターゲットのページへのリンクやボタンを押下して、リクエストをインターセプトします。
リクエストの内容を変更(たとえばPOSTパラメータを変更)し、 「Forward」をクリックして、変更したリクエストをサーバーに送信します。 これで変更したリクエストが送信できます。
その後は、リクエストが中断されずにBurp Proxyを通過できるように、インターセプトを再度オフに切り替えます。
Burp SuiteのRepeaterで目星をつけたリクエストを再送信したり、リクエストを変更して送信することができます。
登録方法はいろいろありますが、ここではProxyのHTTP履歴からリクエストを選んでRepeaterに登録する方法を解説します。
Burpのブラウザを起動し、ターゲットサイトをブラウジングして、ProxyのHTTP履歴からリクエストを選びます。
選んだリクエストを右クリックし、「Send to Repeater」を選択することでRepeaterにリクエストを登録できます。 この操作をおこなったら「Repeater」タブに移動して、リクエストが番号付きタブで待機していることを確認します。
「Send」 をクリックしてリクエストを送信して、サーバーからのレスポンスが確認できます。
毎回異なる入力で同じリクエストを再送することで、入力ベースのさまざまな脆弱性を特定して確認できます。
Repeaterにリクエストを登録します。
Repeaterのリクエストを編集して「Send」をクリックすることで編集したリクエストが送信できます。
レスポンスを確認します。 編集内容を変えながら、この操作を繰り返してテストします。
スポンサーリンク
サイト内のページ
言語
C・C++
/HTML
/Java
/JavaScript
/PHP
/シェルスクリプト
開発環境
Ant
/Burp
/Eclipse
/Fiddler
/gcc
/gdb
/Git
/g++
/JDK
/JMeter
/JUnit
/Teraterm
/ZAP
技術・仕様
Ajax
/CORBA
/Jakarta EE(旧称J2EE、Java EE)
/JNI
ライブラリ/Framework/CMS
bootstrap
/jQuery
/FuelPHP
/Lucene
/MyBatis
/Seasar2
/Spring
/Struts
/WordPress
Web API
Google Maps
ITインフラOSとミドルウェア
Linux
/Windows
/シェル
ActiveMQ
/Tomcat
/MariaDB
/MySQL
/Nagios
/Redis
/Solr
ITインフラセキュリティ
公開サーバーのセキュリティ
SI
ホームページの作り方
スポンサーリンク
関連サイト内検索ツール
zealseedsおよび関連サイト内のページが検索できます。
IPアドレス確認ツール
あなたのグローバルIPアドレスは以下です。
3.236.86.184
HTMLの表示色確認ツール
パスワード生成ツール
文字数のプルダウンを選択して、取得ボタンを押すと「a~z、A~Z、0~9」の文字を ランダムに組み合わせた文字列が表示されます。
ここに生成されます。
スポンサーリンク
Copyright (C) 2007-2024 zealseeds. All Rights Reserved. Loarding…