Burp SuiteでGoogle認証 + アプリログインを手動レコードしてスキャンする方法
Google OAuth(SSO)を採用しているサイトを Burp Suite で診断する場合、
ログインシーケンスを正確に記録 しないと 401 / 403 でクロールが止まってしまいます。
本記事では Manual recorded login 機能を使い、Burp のブラウザ上で
「Google認証 → アプリケーションログイン」 をキャプチャしてスキャンを実行する手順をまとめます。
🎯 この記事でできること
| 実施内容 | 解説ポイント |
|---|---|
| Burp プロジェクトの作成 | ログの分離と管理しやすい構成の作成手順 |
| スキャン設定 | 対象URLの登録と、誤検知を防ぐ設定変更方法 |
| Manual recorded login の実行 | Burpブラウザを用いたGoogle認証の録画方法 |
| レコーディング成功のための操作法 | 誤認識を防ぐマウス操作・キーボード操作のコツ |
| 認証の成功確認と再編集方法 | スキャン中のステータス確認と修正アプローチ |
🧰 前提・環境
-
Burp Suite Professional 2024.x
(Community Edition は recorded login 非対応) - 対象サイト:Google OAuth → 自社アプリのログインフォーム
- Google/アプリ用の テストアカウント を準備
- Burp Embedded Browser(Chromium ベース)を使用
(※ご自身の Chrome + Burp 拡張でも可)
🗺️ 全体フロー
- プロジェクト作成(診断名だけ決めて Default 設定)
- New scan → Crawl 対象 URL を入力
- Scan configuration でフォーム送信など不要オプションをオフ
-
Manual recorded login を選択し、Burp ブラウザで
Google 認証 → アプリログイン を プライベートウィンドウ で記録 - 記録したスクリプトを貼り付けて Scan 実行
- Live crawl view で認証が成功しているか確認
- 必要に応じて Recorded login を Edit → 再利用または再録
1️⃣ Burp プロジェクトを作成
-
Burp 起動 → New project on disk を選択
-
診断名(例:
g-oauth-test-yyyyMMdd)を入力し Next
-
Use Burp defaults を選択して Start Burp
2️⃣ New scan で対象 URL を設定
-
Dashboard→ New scan
-
Crawl を選択し、
Scan detailsに対象 URL を入力
3️⃣ Scan configuration の調整
-
Scan configuration→ New をクリック → Miscellaneous
-
Submit forms と Fetch required resources のチェックを外す
(二度目以降は Select from library で再利用可)
4️⃣ Manual recorded login の作成(超重要)
4-1. レコーディング開始
- Use recorded login sequences → New
- ダイアログで Manual recorded login を選択 → Continue
![manual_record_popup.png]
4-2. Burp ブラウザで認証を実行
-
拡張アイコン → Start recording
-
自動で Private ウィンドウ が開く
- 事前 Cookie/キャッシュが無い状態なので ミスなく 操作を記録
-
操作順序の例
- 対象 URL をアドレスバーに入力(
ENTER) - Google アカウント選択 → パスワード入力 → 同意
- アプリ側ログインフォームが表示されたら 完全に描画されるのを待つ
- ユーザー名・パスワードを コピー or 手入力(オートコンプリート不可)
-
Loginボタンをクリックしてダッシュボード等が表示されるまで待機
- 対象 URL をアドレスバーに入力(
Tips
- URL入力時以外は
Enterキー禁止。必ずクリックで遷移- ボタンやリンクは 意図通りのラベル をクリック(座標ズレ防止)
- 入力ミスは即キャンセルして 再録 した方が早い
4-3. 記録終了 & スクリプト適用
-
ログイン後、右上の × でタブを閉じて Stop recording
-
自動生成されたスクリプトを確認し、
Paste scriptに貼り付け-
Labelは任意(例:google-oauth-login) 
-
-
OK → スキャン設定画面に戻り Scan launch
5️⃣ 実行中に認証成功を確認
-
Dashboard→ 該当ジョブ → Live crawl view - ログイン後ページ(200 OK)が取得できていれば成功
- 失敗例:ログインページへ 302 で戻され続ける、401/403 が並ぶ
6️⃣ 後から Recorded login を確認・編集
-
Project options > Sessions > Recorded logins -
対象ラベルを選択 → Edit
-
Events 形式で手順を確認
- Cookie 値だけ差し替え可能
- 大幅修正より 再録 推奨
✅ まとめ
| ステップ | 要点 | 失敗しないコツ |
|---|---|---|
| プロジェクト作成 | ログ分離 | Default で OK |
| Scan config | フォーム送信をオフ | クローラー暴走防止 |
| Manual recorded login | Google → アプリを Private で操作 | Enter 禁止 & 正確なクリック |
| Live crawl view | 認証成功をリアルタイム確認 | 401/403 が続く→再録 |
| Edit recorded login | 軽微なCookie修正 | 大幅変更は録り直す |
🔗 参考リンク
この記事のポイント
Manual recorded login は「一発撮り」。ミスしたら迷わず再録。
Private モードで真っさらな状態から実行することで、
Google 認証 + アプリ認証 の “本番と同じフロー” を Burp に教え込めます。