1. Top
  2. Tips

Webアプリケーションのセキュリティ診断ツール BurpSuite の使い方


HTTPS通信内容をキャプチャしたいところですが、通信内容がhttpsで暗号化されているため、wiresharkなどのパケットモニタツールでは内容を解析することができません。このような場合はBurpSuiteというツールを使うと便利です。IEなどでこのBurpSuiteをProxyに設定して通信をすると、通信内容のすべてを見ることができます。使い方は以下のとおりです。

ダウンロード元

http://portswigger.net/burp/download.HTML
・上記のページで「Free Edition」をダウンロードします。
・jarファイルがダウンロードされます。

ページの先頭へ

インストール (for Windows)

ダウンロードしたjarファイルをダブルクリックします。画面がたちあがります。



ページの先頭へ

ブラウザの設定

Webブラウザ(IE等)を開き、プロキシの設定を行います。プロキシ名(Address)はParosで指定した”localhost”、または、”127.0.0.1” を使用してください。また、プロキシポートは、HTTPおよびHTTPSとも8080に設定してください。


ページの先頭へ

セキュリティ診断

1、Webサイトにアクセスします。するとburpsuiteの画面のproxyタブの文字色が変わるのでこれをクリックします。

2、リクエスト内容が表示されています。「forward」ボタンをクリックして通信を進めます。ブラウザが通信中でなくなるまで「forward」ボタンをクリックし続けます。

※historyタブを開くとそこまでの通信履歴を見ることができます。さらに表から各通信をクリックするとrequestとresponseタブでそれぞれの通信内容を見ることができます。

ページの先頭へ