Burp Suite 1.7の使い方 通信などを比較する方法


こんにちは。雨が好きVBプログラマーの小川です。
今回はBurp Suiteの「Comparer」という、HTTPリクエスト等を比較できる機能を紹介したいと思います。

Webアプリケーション診断では、脆弱性を確認する一つの方法として、サーバに送信するHTTPリクエストを改変し、それを受け取ったサーバ(Webアプリケーション)が返すHTTPレスポンスを検証する方法があります。HTTPレスポンスの確認は、HTTPリクエストを改変する前のHTTPレスポンスと、改変した後のHTTPレスポンスを比較します。人の目で比較できる場合もありますが、微々たる差分を確認するためには、人の目では限界があるためツールを使用します。その比較に有効な機能が「Comparer」になります。

今回は2つのHTTPレスポンスを比較してみたいと思います。

手順は以下になります。

Step1.比較対象を「Comparer」に転送します。
Step2.比較を実行します。
Step3.結果を確認します。

それではいってみましょう!

Step1.比較対象を「Comparer」に転送します。
1-1.[Proxy]の[HTTP History]から、比較元のHTTPリクエストを選択し、[Send to Comparer(response)]を押下します。

1-2.比較先のHTTPリクエストを選択し同様に押下します。

Step2.比較を実行します。
2-1.[Comparer]に移動します。
[Proxy]の[HTTP History]から転送されたHTTPリクエストが設定され[Select item 1]の一つ目の行と、[Select item 2]の2つ目の行が選択されていることを確認します。

2-2.画面右下の[Words]ボタンを押下します。

Step3.結果を確認します。
3-1.[Words]ボタンを押下した結果、文字単位で比較された結果が表示されます。差分がある箇所は色がつきます。

3-2.[Bytes]ボタンではバイナリレベルでの比較ができます。

非常に便利に思える「Comparer」ですが注意点もあります。Burp Suite本体の問題ではありますが、日本語が文字化けてしまいます(3-1では日本語部分が化けています)。日本語の厳密な比較をしたい場合は、Burp Suite以外の他のツールを使用する必要があります。他のツールは別途紹介したいと思います。

以上です。


【今回の動作環境】
Burp Suite Free Edition V1.7.23
java version “1.8.0_131”
macOS 10.12.5

  • このエントリーをはてなブックマークに追加

PAGE TOP