1. 今日の学習テーマ
Webセキュリティ学習の一環として、Burp Suite Community Edition を使い、HTTPリクエストの仕組みを理解しつつ、実際にリクエスト改ざんを試してみました。
学習した内容を備忘録として定期的に書いていきたいと思います!
⚠️ 注意事項
この記事は Webセキュリティ学習 を目的として作成しています。
記載している内容を 実際のWebサービスに対して無断で行うことは不正アクセス禁止法に抵触する可能性があり、違法行為です。
必ず検証用サイト( https://httpbin.org/ ) を利用し、自己責任の範囲で実施してください。
Burp Suite とは
- Webセキュリティ検査でよく使われるプロキシツール
- ブラウザとサーバーの通信を「途中で止めて確認・改ざん」できる
- ホワイトハッカーやセキュリティエンジニアが脆弱性診断で使用
環境構築・設定方法
- Burpの起動
Burp Suite Community Edition を起動 → Proxy タブを開く。
- ブラウザのプロキシ設定
Firefoxで手動プロキシを設定:
HTTP Proxy: 127.0.0.1
Port: 8080
- 証明書のインポート(HTTPS対応)
http://127.0.0.1:8080/にアクセスしてCA証明書をダウンロードする→BurpのCA証明書をFirefoxにインポートして、HTTPS通信も解読可能に。
実験① 通信をキャプチャしてみる
http://httpbin.org/forms/post という検証用サイトを利用。
フォームを送信すると、そのリクエストがBurpにキャプチャされる。
フォーム内容:
HTTP historyにリクエストが流れてきた画面:
実験② リクエスト改ざん
Burp Suite の Intercept 機能 を使って、フォーム送信データを改ざんしてみます。
※あくまで学習用の httpbin.org を利用しており、実サービスで行うのは不正アクセスとなるため絶対禁止です ⚠️
-
Intercept ON にしてフォーム送信
通常なら以下のように送信されます。
-
Burp でリクエストを書き換え
例えば、以下のようにパラメータを書き換えます。
-
送信すると改ざん後のデータが反映される
httpbin のレスポンスに、改ざんした内容がそのまま表示されました。
学んだこと・気づき
- Intercept ON → 通信を止めて改ざんできる
- Intercept OFF → 普通に通信しつつ記録だけ残せる
- HTTP通信はそのまま丸見え・改ざんし放題になるので危険
- HTTPSでもBurpのCA証明書を入れると「信頼してる相手」として解読できる
- 実際のアプリケーションでは、この挙動が 「入力値のバリデーション不足」 に繋がり、SQLインジェクションやXSSなどの攻撃に悪用される可能性がある
- セキュリティエンジニアはこの仕組みを「攻撃」ではなく「診断・検証」で活用する
次のステップ
- Repeater 機能で同じリクエストを繰り返し検証
- SQLi / XSS など簡単な攻撃検証を試してみる
- 実際の脆弱性診断の流れを学んでいく