昔々、新卒で入った会社の先輩がお薦めしてくれたWebアプリケーションのセキュリティ試験ツールであるBurp Suiteについての紹介です。
Webアプリケーションのセキュリティチェックの方法等を書いていきます。
このツールは、スマホ端末のアプリやWebブラウザなどのクライアントからローカルプロキシを通して、サーバー側のアプリケーションへどのような通信がされているのかを傍受し一目で通信内容を確認することができます。
通信内容を可視化するだけでなく、傍受した通信データを任意の値に変更し挙動を確認することもできます。
実際に完成したシステムに対し攻撃を行い脆弱性を確認するテスト、いわゆる"ペネトレーションテスト"を行う際にも有用なツールです。
*外部サイトに、改変したデータを送ったり第三者の通信の盗聴は法に触れるので行っては行けません。
提供元のPortSWIGGER は3つのエディションを用意しています。
Enterprise 年間$3,999 脆弱性検査・定期スキャン・大規模スキャン・構成管理
Professional 年間$3,999 脆弱性検査・より強力な解析ツールもろもろ
Community タダ! 最低限の解析機能はもっています。
まずは、無料のものをダウンロードしていきます。
https://portswigger.net/burp
ダウンロードしてきたBurpをクリックします。
ライセンス事項に同意
Community無料版は、一時プロジェクトしか作れないのでそのままNext
インストールが完了しBurpが起動しました。
今回書いていく記事で使いそうな項目タブの説明
[Target] = そのままターゲットです。検査対象をスコープ、範囲を指定したりもできます。
[Proxy] =プロキシの設定ができます。プロキシを追加したり、データの値の確認等ができます。
[Spider] = 検査したい内容をあらかじめ設定することにより、自動的に捜査対象を抽出してくれます。
*次の記事でリクエストのキャプチャと改ざんの方法について書いていこうと思います。