Burp Suiteとは
Burp Suiteとは、通信内容のキャプチャなど様々な機能があるローカルプロキシツールです。
セキュリティ検査を使用する際によく使用されます。
通常のWebアクセスと、Burp Suiteのプロキシ経由でWebアクセスのイメージ図は以下の通りです。
【通常のWebアクセス】
【Burp Suiteのプロキシ経由でWebアクセス】
ローカルプロキシ(Burp Suite)を経由することで、以下のような機能が使用できます。
- 通信内容のキャプチャ
- キャプチャした通信の再送
- キャプチャした通信の改ざん(送信前と送信後の両方の通信に対して可能)
- 総当たり攻撃 など
Burp SuiteをWindows 10にインストール
(1) ブラウザを起動して、Burp Suiteのダウンロードサイト(https://portswigger.net/burp/communitydownload)にアクセスします。
(2) 「DownLoad」をクリックします。
(3) 「Burp Suite Community Edition」と「Windows (64-bit)」を選択して、「DownLoad」をクリックします。
(4) ダウンロードしたファイルがウイルスでないことを確認するために、以下のVIRUSTOTALのサイトにアクセスします。その後、「FILE」タブをクリックして、「Choose file」をクリックします。
[VIRUSTOTALのサイト]
https://www.virustotal.com/gui/
(5) 悪いファイルと判断された件数が0件であることを確認します。
(6) ダウンロードしたインストーラ(burpsuite_community_windows-x64_v2021_8_1.exe)を実行します。
(7) 「Next」をクリックします。
(8) インストールフォルダを選択して、「Next」をクリックします。今回はインストールフォルダはデフォルトのままにします。
(9) スタートメニューフォルダを選択して、「Next」をクリックします。スタートメニューフォルダはデフォルトのままにします。
(10) 「Finish」をクリックします。
Burp Suiteを実行
(1) 「Burp Suite Community Edition」を起動します。
(2) 「Terms and Conditions(規約と条件)」の内容を確認して、「I Accept」をクリックします。
(3) 今回はデータを保存しないため、「Temporary project」にチェックを付けて、「Next」をクリックします。
(4) 今回はデフォルトの設定を使うため、「Use Burp defauls」にチェックを付けて、「Start Burp」をクリックします。
(5) 「Burp Suite」が起動したことを確認します。
おすすめ書籍
Webアプリケーション診断について、より詳細に知りたい場合は、以下の書籍で勉強することをおすすめします。