セキュリティ脆弱性テストのためのプロキシツール!Burp Suiteの使い方
目次
こんにちは! 西村です。
Webシステム開発といえば脆弱性の対策は必須。今回は脆弱性の調査ができるローカルプロキシツール、Burp Suiteのインストール方法から使い方まで説明していきます。
Burp Suiteについて
PortSwigger Ltdが提供しているWebアプリケーションのセキュリティテストを⾏うためのローカルプロキシツールです。セキュリティ脆弱性の発見など、テストプロセス全体をサポートしてくれる総合プラットフォームになります。
Burp Suiteのインストール
PortSwiggerのHPから Downloadsにアクセスします。下記画像の画面に遷移しますので、「Go straight to downloads」を押下してください。
下記画面が開きますので、「Burp Suite Communtiy Edition」、「操作端末のOS」を選択し、「DOWNLOAD」を押下するとインストーラがダウンロードできます。
インストーラを開くと、下記の画面が表示されます。基本的にインストーラの指示に従っていただければ問題ありません。
インストール後、下記の画面が開けば成功です。
Burp Suiteの初期設定
インストールの起動画面から「Temporary project」を選択し、「Next」を押下してください。
「Use Burp defaults」を選択し、「Start Burp」を押下してください。
Burp Suiteが起動します。今回は、ローカル環境でプロキシツールとして使用するため、「Proxy」のタブを押下します。
「Proxy」タブの「Options」の画面に遷移してください。「Proxy Listeners」の一行目を選択して、「Edit」を押下します。
「Bind to port」に、他で使用していないポート番号を設定します。※画像の場合は、8080に競合しないポートを設定してください。
以上で、Burp Suiteの初期設定は完了です。
脆弱性テスト(XSS)
脆弱性診断は、診断を許可されたサイトもしくは自身で管理するサイト以外では使用を禁止されています。ローカル環境に自由に診断できるサイトをダウンロードしてテストを行いましょう。
Burp Suiteでプロキシツールの機能を使用するためには、「Proxy」の「Intercept」に遷移し、「Open browser」を押下します。Burp Suiteのブラウザが開いたことが確認できます。
Burp Suiteのブラウザから脆弱性のテストを行いたいサイトを開きます。今回は、やられサイト「BadStore」でテストを行います。
リクエストを中断したいサイトの画面に遷移して、「Intercept is off」を押下します。
下のように「Intercept is on」になれば完了です。
サイトを操作してリクエストが中断出来ていたら準備完了です。Valueの値を変更し、リクエストを自由に書き換えられます。
値にHTMLタグなどを入力して、脆弱性の確認ができるようになります。
まとめ
今回は、脆弱性診断などに使用するローカルプロキシツール「Burp Suite」のインストールから使い方までを解説しました。簡単な操作で脆弱性診断が可能になります。
私の場合、はじめて使用した際はテストの方法がわからず、時間をかけてしまいました。やり方さえわかってしまえば、簡単にテストをすることが出来るようになります。今回の記事が皆様のアプリケーション開発の役に立てば幸いです。
《関連記事》