はじめまして。
エスアイイーでセキュリティ診断を担当していますVB6プログラマーの小川と申します。
どうぞよろしくお願いします。
Webアプリケーションのセキュリティ診断(以下Webアプリ診断)でよく使われているローカルプロキシツール「Burp Suite」について説明していきたいと思います。今回はBurp Suiteの概要と起動するところまで紹介します。
Burp Suiteとは
個人的にはローカルプロキシツールの一つという認識ですが、公式ページを確認すると「Burp Suite is an integrated platform for performing security testing of web applications」とあります。Webアプリケーションのセキュリティテストを行うための統合プラットフォームということです。確かに統合プラットフォームということで様々なツールがBurp Suiteに含まれています。Webアプリ診断に使用されるツールは色々ありますが(※1)、診断の為のツールというのがBurpSuiteの特徴かと思います。Webアプリ診断を提供している現場ではほぼ使われているのではないでしょうか。
早速ダウンロードしようと思いますが、その前にWebアプリ診断ではなぜローカルプロキシツールを使用するのか説明したいと思います。
Webアプリ診断ではHTTPの通信内容を書き換えて脆弱性を確認するのですが、(書き換えないケースもありますが)ブラウザのみでは通信の書き換えが効率的に行えません。そこで以下のようにローカルプロキシツールを使用して作業を行うことが多いです。
ダウンロードと起動
1.公式のページ https://portswigger.net/burp/download.html から、jarファイルをダウンロードします。(2016年7月8日時点のキャプチャです)
2.「burpsuite_free_v1.7.03.jar」ファイルがDLされていることを確認します。
3.ダウンロードしたファイルを実行します。
環境によりますが、ダウンロードしたファイルをダブルクリックするか、コマンドラインで実行します。
以下の例ではMacOS上でコマンドラインから起動するコマンドです。(※2)
$ java -jar burpsuite_free_v1.7.03.jar
4.Burp Suiteが起動します。
[Next]→[StartBurp]と右下のボタンを押していきます。
Burp Suite1.7系からはプロジェクト選択の画面が表示されるようになりました。
6.以下のような画面が表示されれば成功です。
起動できない原因の大半はJavaの設定だったりするので、エラーが出る場合はJavaのエラーメッセージを検索することで問題を特定できると思います。
次回はローカルプロキシとしての使い方を説明します。
よろしくお願いします!
※1 Web診断に使用される無償のツールは以下のようなものがあります。また別途紹介したいと思います。
OWASP Zap (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project)
Fiddler (http://www.telerik.com/fiddler)
※2 事前にJavaをインストールしておきます。
Java https://java.com/ja/download/
