Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

title: “Burp Suite 入門” part: “Part 3” chapter: “3-1”

Burp Suite 入門

本章では、Burp Suite の役割と主要コンポーネント、基本的なセットアップ手順について整理する。詳細なテクニックは次章以降で扱う。

本章のゴール

  • 前提:Part 2 で HTTP / Cookie / セッション管理の基礎を把握している。
  • 到達目標:Burp Suite の主要コンポーネント(Proxy / Target / Repeater / Intruder 等)と、基本セットアップ(プロキシ、CA 証明書、スコープ設定)の要点を説明できる。
  • 対応演習:exercises/juice-shop/ または exercises/dvwa/ を Burp Suite 経由で操作し、HTTPS 復号とサイトマップ取得、重要リクエストの Repeater 保存を試す(起動手順は 付録「演習環境クイックスタート」 を参照)。

Burp Suite の位置づけ

Burp Suite は、Web アプリケーションおよび API を対象としたプロキシ型のテストプラットフォームであり、次のような用途に利用される。

  • ブラウザとサーバ間の HTTP(S) トラフィックの可視化・改変
  • リクエストの再送・パラメータの体系的なテスト
  • スキャンや自動化機能(Professional Edition)
  • 拡張(BApp Store、カスタム拡張)による機能拡張

Pentest においては、Burp Suite を中心とした「プロキシベースのワークフロー」を確立することが、効率と再現性の観点から重要となる。

オープンソースの代替として OWASP ZAP なども広く利用されているが、本書では実務での利用頻度と周辺エコシステム(拡張機能や PortSwigger Web Security Academy など)を考慮し、Burp Suite を中心に説明する。ZAP 等の他ツールを用いる場合でも、「ブラウザ → プロキシ → 対象アプリケーション」というプロキシベースのワークフロー自体は概ね共通である。

基本コンポーネント

本書で主に利用するコンポーネントは次のとおりである。

  • Proxy
    ブラウザからのトラフィックを中継・記録する。Intercept 機能により、リクエストを送信前に編集できる。
  • Target
    観測したホスト/パスの一覧とサイトマップを表示する。スコープ設定やツリービューを通じてアタックサーフェスを把握する。
  • Repeater
    個別のリクエストを保存し、パラメータを変えながら繰り返し送信する。手動での検証や PoC 構築に適する。
  • Intruder
    指定箇所に対して複数のペイロードを自動挿入し、テストを自動化する。認証試行、パラメータ汚染、IDOR 調査などに利用できる。
  • Decoder / Comparer
    エンコード/デコードやレスポンス差分の比較に使用する。

図3-1: Burp Suite の主要コンポーネント

flowchart LR
    Browser[ブラウザ] --> Proxy[Proxy]
    Proxy --> Target[Target]
    Proxy --> Repeater[Repeater]
    Proxy --> Intruder[Intruder]

    subgraph Burp Suite
        Proxy
        Target
        Repeater
        Intruder
    end

    note right of Proxy: HTTP(S) トラフィックの中継・記録

図3-1 のように、Proxy(観測)を起点として Target(整理) / Repeater(再現) / Intruder(自動化)にリクエストを送るイメージを持つと、ワークフローが整理しやすい。

Professional Edition では、Scanner や、拡張された自動化機能も利用可能だが、本書では Community Edition でも再現可能なワークフローを基盤とする。

セットアップの基本

Burp Suite を利用する際の典型的なセットアップ手順は次のとおりである。

  1. Burp Suite を起動し、Temporary Project またはプロジェクトファイルを選択する。
  2. Proxy のリスニングポート(通常 127.0.0.1:8080)を確認する。
  3. ブラウザ側で HTTP/HTTPS プロキシとして Burp を設定する(Firefox、専用ブラウザ、またはブラウザ拡張など)。
  4. Burp の CA 証明書をブラウザにインポートし、HTTPS 通信を復号可能にする。
  5. Target のスコープ設定で、テスト対象のホスト/ドメインのみを含める。

環境によっては、組織のプロキシや証明書ポリシーが存在するため、実務環境に合わせた設定が必要となる。演習環境では、ローカルの Docker Compose などでホストされた脆弱なアプリケーションを利用することを前提とする。

スコープ設定とログ管理

実務上、スコープ設定とログ管理を適切に行うことは非常に重要である。

  • スコープ外のホストには意図せず負荷をかけないよう、明示的に対象範囲を限定する
  • 重要なリクエスト(ログイン、権限変更、支払い操作など)は Repeater に保存し、再現性を確保する
  • バージョン管理されたプロジェクトファイルやセッションログを活用し、後日の調査やレビューに備える

次章『Web Pentest のワークフロー』では、これらのコンポーネントを用いた基本ワークフローを整理する。

本章のポイント

  • Burp Suite はプロキシ型のテストプラットフォームであり、Web / API Pentest のワークフローを支える中心ツールである。
  • セットアップでは、プロキシ設定、CA 証明書のインポート、スコープ設定を行い、意図しない範囲への通信を避ける。
  • 再現性の確保のため、重要なリクエストは Repeater に保存し、ログ管理を前提に運用する。