トップ 開発環境 Burp Suite

Burp Suiteとは―Webアプリケーション脆弱性診断ツール

Burp Suiteは、手動もしくは自動のセキュリティテストをサポートするWebアプリケーション脆弱性診断ツールです。

▲記事トップへ

目次

以下は目次になります。

1. Burp Suiteとは
2. Burp Suite Community Editionのダウンロード
3. Burp Suite Community Editionのインストール方法
4. Burp Suite Community Editionの起動方法
5. Burp SuiteのProxyの使い方
6. Burp SuiteのRepeaterの使い方

更新履歴

1. Burp Suiteとは

Burp Suiteは、手動もしくは自動のセキュリティテストをサポートするWebアプリケーション脆弱性診断ツールです。

Burp Suite Professional以上はライセンスの購入が必要

Burp Suite Community Editionは無料で使用できます。 Burp Suite Professional以上はライセンスの購入が必要です。

2. Burp Suite Community Editionのダウンロード方法

以下より、Burp Suite Community Editionの最新バージョンをダウンロードします。

以下は、Burp Suite Community Editionのダウンロードページのイメージです。

Burp Suite Community Editionのダウンロードページ

以下は、ダウンロードしたBurp Suite Community Editionのインストーラーのイメージです。

ダウンロードしたBurp Suite Community Editionのインストーラー

3. Burp Suite Community Editionのインストール方法

インストーラを実行しインストールします。以下は開始画面です。

ダウンロードしたBurp Suite Community Editionのインストーラーを起動した際のイメージ(開始画面)

開始画面の次はディレクトリ選択です。

ダウンロードしたBurp Suite Community Editionのインストーラーを起動した際のイメージ(ディレクトリ選択)

ディレクトリ選択の次はメニューフォルダ選択です。

ダウンロードしたBurp Suite Community Editionのインストーラーを起動した際のイメージ(メニューフォルダ選択)

メニューフォルダ選択の次は完了画面です。

ダウンロードしたBurp Suite Community Editionのインストーラーを起動した際のイメージ(完了画面)

4. Burp Suite Community Editionの起動方法

Burp Suiteを起動します。プロジェクトファイルと構成の選択を求められたら、 [Next] をクリックし、 [Start Burp]をクリックして、ここではスキップします。

以下は、Windows11の場合の起動イメージです。まずはすべてのアプリのアイコンをクリックします。

Burp Suite Community Editionの起動(Windows11のすべてのアプリのアイコンをクリック)

その次は規約にチェックします。

Burp Suite Community Editionの起動(規約)

その次はプロジェクト選択です。ここではスキップします。

Burp Suite Community Editionの起動(プロジェクト選択)

その次は設定です。ここではそのままにします。

Burp Suite Community Editionの起動(設定)

その次は起動後に最初に表示されるダッシュボードです。

Burp Suite Community Editionの起動(ダッシュボード)

5. Burp SuiteのProxyの使い方

Burp Proxyでリクエストをインターセプトする機能が便利です。 Burp Proxyを使用すると、Burpのブラウザとターゲットサーバの間で送信されるHTTPリクエストおよびレスポンスを代行受信できます。 これにより、さまざまなアクションを実行したときのWebサイトの動作を調べることができます。

Burp SuiteのProxyの使い方について解説していきます。

手順1)Burpのブラウザを起動する

Proxy>Interceptタブに移動し、「Intercept is off」ボタンをクリックして、 「Intercept is on」に切り替えます。

Intercept is on

「Open Browser」をクリックします。するとBurpのブラウザが起動します。 Burpのブラウザは直ぐに使えるように設定されています。

Burpのブラウザ

BurpとBurpの両方のブラウザが表示されるようにウィンドウを配置します。

手順2)リクエストをインターセプトする

Burpのブラウザーを使用してページにアクセスし、サイトが読み込まれないことを確認します。 Burp Proxyは、サーバに到達する前にブラウザによって発行されたHTTP要求を代行受信しました。 この代行受信された要求は、「Proxy>Intercept」タブで確認できます。

リクエストをインターセプト

リクエストはここに保持されるので、ターゲットサーバーに転送する前に調査したり、変更したりすることができます。

手順3)リクエストを転送する

ページがBurpのブラウザーに読み込まれるまで、 「Forward」ボタンを数回クリックして、インターセプトされた要求とそれ以降の要求を送信します。

リクエストを転送

手順4)インターセプトをオフにする

ブラウザーが通常送信する要求の数が多いため、すべてを傍受したくない場合があります。 その場合は「Intercept is on」ボタンをクリックして「Intercept」がオフにします。

Intercept is off

ブラウザーに戻ると、通常通りサイトの操作をできるようになっています。

手順5)HTTP履歴を表示する

Burpで、「Proxy>HTTP history」タブに移動します。ここでは、代行受信がオフになっている場合でも、Burp Proxyを通過したすべてのHTTPトラフィックの履歴を確認できます。 履歴内の任意のエントリをクリックすると、未加工のHTTP要求と、それに対応するサーバからの応答が表示されます。

HTTP履歴を表示

これにより、通常どおりWebサイトを探索し、Burpのブラウザーとサーバー間のやり取りを後で調べることができます。

手順6)リクエストを変更する

今度は、Burp Proxyでインターセプトされたリクエストを変更する方法について説明します。

まずBurpで「Proxy>Intercept」タブに移動し、interception offになっていることを確認します。

確認したら、Burpのブラウザを起動してターゲットの前のページを表示します。

そして、Burpで「Proxy>Intercept」タブに移動し、interception onに切り替えます。 ブラウザーでターゲットのページへのリンクやボタンを押下して、リクエストをインターセプトします。

リクエストの内容を変更(たとえばPOSTパラメータを変更)し、 「Forward」をクリックして、変更したリクエストをサーバーに送信します。 これで変更したリクエストが送信できます。

その後は、リクエストが中断されずにBurp Proxyを通過できるように、インターセプトを再度オフに切り替えます。

6. Burp SuiteのRepeaterの使い方

Burp SuiteのRepeaterで目星をつけたリクエストを再送信したり、リクエストを変更して送信することができます。

Burp SuiteのRepeaterにリクエストを登録する

登録方法はいろいろありますが、ここではProxyのHTTP履歴からリクエストを選んでRepeaterに登録する方法を解説します。

手順1)ProxyのHTTP履歴からリクエストを選ぶ

Burpのブラウザを起動し、ターゲットサイトをブラウジングして、ProxyのHTTP履歴からリクエストを選びます。

手順2)Repeaterにリクエストを登録する

選んだリクエストを右クリックし、「Send to Repeater」を選択することでRepeaterにリクエストを登録できます。 この操作をおこなったら「Repeater」タブに移動して、リクエストが番号付きタブで待機していることを確認します。

手順3)リクエストを送信して、レスポンスを表示する

「Send」 をクリックしてリクエストを送信して、サーバーからのレスポンスが確認できます。

Repeaterで異なる入力をテストする

毎回異なる入力で同じリクエストを再送することで、入力ベースのさまざまな脆弱性を特定して確認できます。

手順1)Repeaterにリクエストを登録する

Repeaterにリクエストを登録します。

手順2)リクエストを編集して送信する

Repeaterのリクエストを編集して「Send」をクリックすることで編集したリクエストが送信できます。

手順3:レスポンスを確認する

レスポンスを確認します。 編集内容を変えながら、この操作を繰り返してテストします。

更新履歴

戻る

スポンサーリンク

サイト内のページ

言語
C・C++ /HTML /Java /JavaScript /PHP /シェルスクリプト

開発環境
Ant /Burp /Eclipse /Fiddler /gcc /gdb /Git /g++ /JDK /JMeter /JUnit /Teraterm /ZAP

技術・仕様
Ajax /CORBA /Jakarta EE(旧称J2EE、Java EE) /JNI

ライブラリ/Framework/CMS
bootstrap /jQuery /FuelPHP /Lucene /MyBatis /Seasar2 /Spring /Struts /WordPress

Web API
Google Maps

ITインフラOSとミドルウェア
Linux /Windows /シェル
ActiveMQ /Tomcat /MariaDB /MySQL /Nagios /Redis /Solr

ITインフラサーバー
公開Webサーバー

ITインフラネットワーク
プログラミング /構築

ITインフラセキュリティ
公開サーバーのセキュリティ

PC製品
ZOTAC

SI
ホームページの作り方

その他
IT用語 /ITスキル体系

スポンサーリンク

関連サイト内検索ツール

zealseedsおよび関連サイト内のページが検索できます。

IPアドレス確認ツール

あなたのグローバルIPアドレスは以下です。

3.236.86.184

HTMLの表示色確認ツール

パスワード生成ツール

文字数のプルダウンを選択して、取得ボタンを押すと「a~z、A~Z、0~9」の文字を ランダムに組み合わせた文字列が表示されます。

ここに生成されます。

スポンサーリンク