Burp Suite 入門ガイド

PortSwigger社が開発したBurp Suiteは、Webアプリケーションのセキュリティテストに広く使用されているツールです。プロキシ機能、脆弱性スキャナー、リクエスト編集機能など、ペネトレーションテストに必要な機能を含んでいます。

Burp Suiteとは

Burp Suiteは、Webアプリケーションのセキュリティテストを行うための統合プラットフォームです。

主な特徴:

• PortSwigger社が開発したWebアプリケーションセキュリティテストツール

• プロキシ機能、脆弱性スキャナー、HTTPリクエスト編集機能など、多彩な機能を搭載

• ペネトレーションテストやセキュリティ診断に広く利用されている

• 無料版(Community Edition)と有料版(Professional/Enterprise)がある

主な機能:

• Burp Proxy: HTTPSトラフィックの傍受、検査、修正が可能

• Burp Scanner: 自動的にWebアプリケーションの脆弱性をスキャン

• Burp Intruder: パラメータ化された攻撃の自動化

• Burp Repeater: HTTPリクエストの手動編集と再送信

• Burp Sequencer: セッショントークンの品質チェック

特徴:

• 直感的なUIで使いやすい

• 拡張機能による機能拡張が可能

• CI/CDパイプラインとの統合(Enterprise版)

• 詳細なレポート機能

Burp Suiteでできること

主に以下のような機能があります:

1. プロキシ機能

• HTTPSリクエスト/レスポンスの傍受と分析

• リクエストの改変と再送信

2. スキャナー機能

• 自動的な脆弱性スキャン

• カスタマイズ可能なスキャンルール

3. Intruder機能

• 自動化された攻撃の実行

• ブルートフォース攻撃、ファジング等

4. Repeater機能

• 個別のリクエストの手動改変と再送信

• レスポンスの詳細分析

5. Decoder/Encoder機能

• データのエンコード/デコード

• ハッシュ計算

6. Comparer機能

• 2つのデータの差分比較

7. Extender機能

• カスタム拡張機能の追加

8. プロジェクト管理機能

• テスト結果の保存と管理

• レポート生成

9. シーケンサー機能

• セッションIDやCSRFトークンの解析

10. ターゲットスコープ設定

• テスト対象の制限

これらの機能を組み合わせることで、Webアプリケーションの包括的なセキュリティテストを実施できます。

Burp Suiteの基本操作

ブラウザのプロキシ設定

この設定によって、Burp Suiteがクライアントとサーバーの間の「中間者」として機能し、全てのHTTP/HTTPSトラフィックを傍受、検査、修正することができるようになります。まず、ブラウザの設定を変更して、Burp Suiteを通じて通信が行われるように設定します。

1. ブラウザでプロキシ設定を行う:
   Burp Suiteはデフォルトで 127.0.0.1:8080 をリスニングポートとして使用します。ブラウザのネットワーク設定で、手動プロキシ設定を有効にし、プロキシサーバーとして 127.0.0.1、ポート番号を 8080 に設定します。

2. Burp Suiteに証明書をインストールする:
   HTTPSトラフィックをキャプチャするためには、Burp Suiteの証明書をインポートする必要があります。Burp Suiteのメニューから「Proxy」→「Options」→「Import/Export CA Certificate」で証明書をダウンロードし、ブラウザにインストールします。

初期構成の確認

1. プロキシを有効にする:
   Burp Suiteの「Proxy」タブをクリックし、「Intercept is on」が表示されていることを確認します。これにより、ブラウザの通信がBurp Suiteを通じてインターセプトされます。

2. 適切なスコープを設定する:
   インターセプトやスキャンを行うWebサイトが多すぎると混乱するため、ターゲットサイトのみにフォーカスするスコープを設定します。ターゲットタブで「Add to scope」を使用して、対象となるサイトだけを設定します。

基本操作

• Proxy:
  Webアプリケーションの通信をインターセプトし、リアルタイムで通信内容を確認・変更できます。初めのステップとして、まずはこの機能を理解することが重要です。

  • 「Intercept is on」の状態で、ブラウザから任意のサイトにアクセスし、通信がBurp Suiteでキャプチャされるか確認しましょう。

  • 必要に応じて「Intercept is off」にして、キャプチャを無効にできます。

• Repeater:
  キャプチャしたリクエストを再送信し、異なるパラメータで再度テストできる機能です。例えば、POSTリクエストの内容を変更して、異なる応答を得るなどのテストが可能です。

• Scanner（Professional版のみ）:
  自動的にWebサイトの脆弱性をスキャンする機能です。Community Editionでは利用できませんが、手動テストの補完となるツールです。

Burp Suite拡張機能の活用

ツールの機能を大幅に拡張し、セキュリティテストの効率と効果を上げてくれます。

拡張機能の例:

• Logger++: すべてのBurp機能からのリクエストとレスポンスを記録し、一覧表示することができる

• Active Scan++: デフォルトのスキャン機能を拡張し、より多くのパターンでの脆弱性検出が可能

• 403 Bypasser: アクセス制御の回避を自動的に検証する機能を提供

拡張機能は「Extensions」タブからインストールでき、Java、Python、Rubyで開発することも可能です。

エンタープライズ版の自動スキャン

大規模な組織向けにBurp Suite Enterprise Editionがあります。

主な特徴:

• ポイント＆クリックで完全自動化されたスキャンが可能

• 無制限のWebアプリケーションを同時にスキャン可能

• CI/CDパイプラインとの統合により、DevSecOpsの実現をサポート

• バグトラッキングシステムや脆弱性管理プラットフォームとの連携

Enterprise Editionは、AppSecチームやソフトウェア開発チーム、CISO/CTOなどに適しており、組織全体のセキュリティ状況を可視化するダッシュボードを提供します。また、ロールベースのアクセス制御とシングルサインオンをサポートし、大規模組織での運用に適しています。

まとめ

Burp Suiteは、ソフトウェア開発におけるセキュリティテストやペネトレーションテストなど、幅広い用途で利用されています。基本的なプロキシ機能から、脆弱性スキャナーやリクエストの改変機能など、多彩な機能が揃っており、セキュリティの専門家から初心者まで幅広いユーザーに利用されています。また、拡張機能を追加することでさらに多様なテストを実施でき、Enterprise版では大規模組織向けの自動化機能や統合性も提供されています。

日々進化するWebセキュリティの課題に対応するために、Burp Suiteの機能を活用し、Webアプリケーションの脆弱性を効果的に発見・対策していきましょう。