2025.02.26
初めてでも安心!Burp Suite Proxyの使い方を簡単6ステップで解説
Webサイトの脆弱性診断を手軽に行える脆弱性診断ツール。中でも、自分で手動診断を試すなら「Burp Suite」はおすすめです。 世界中のセキュリティエンジニアが愛用するこのツールは、実は無料版でも基本的な機能は十分に使える優れものなのです。 この記事では、15年以上の診断実績を誇るアイ・エフ・ティが、Burp Suiteの中でも特に基本となる「Proxy」機能の使い方を解説します。 セキュリティの専門知識がない初心者の方でも、この記事を読めば、Burp Suite Proxyを使って、今日からWebサイトのセキュリティチェックを始められます! 「Burp Suite」以外の脆弱性診断おすすめツールは下記にて紹介していますので、こちらもよろしければご覧ください! Burp Suiteって何?セキュリティ診断の強い味方! Webサイトの脆弱性を検査するツールは数多くありますが、その中でも特に多機能で、世界中のセキュリティエンジニアに愛用されているのが「Burp Suite」です。 まずは、Burp Suiteの概要と、何ができるのかを見ていきましょう。 Burp Suiteとは? Burp Suiteは、Webサイトのセキュリティ診断に必要な機能がひとまとめになった、オールインワンのツールです。 Webサイトとブラウザ間の通信(HTTPリクエスト・レスポンス)を、傍受(横取り)して、内容を詳しく確認したり、書き換えたりできます。 「横取り」と聞くと、悪いことをしているように聞こえるかもしれませんが、Burp Suiteは、Webサイトの弱点(脆弱性)を見つけるために、この仕組みを利用しています。 例えば、Webサイトに送られる情報(リクエスト)の一部をわざと間違ったものに書き換えて、Webサイトが正しく対応できるか?といったことを確認できます。 これにより、攻撃者が悪用できるような弱点がないか、事前にチェックできるのです。 Burp Suiteは、セキュリティの専門家だけでなく、Web開発者が自身のWebサイトの安全性を確認するためにも広く利用されています。 もちろん、専門知識がない初心者の方でも、基本的な使い方を覚えれば、Webサイトのセキュリティチェックに活用できます! Burp Suiteでできること Burp Suiteには、無料で使えるCommunity Editionと、さらに高度な機能が使える有料のProfessional/Enterprise Editionがあります。 企業で本格的に使う場合は有料版がおすすめですが、「まずは手動診断でWebサイトのセキュリティをチェックしてみたい」というくらいなら無料版でも十分に対応できます。 Burp Suiteには、具体的には以下の機能があります。 Proxy(プロキシ): Webサイトとブラウザ間のやり取りを「横取り」して、中身を見たり、書き換えたりできます。 Spider(スパイダー): Webサイトを自動で巡回して、どんなページがあるかなどを調べます。 Scanner(スキャナ): Webサイトの弱点を自動で見つけてくれます。(※有料版のみ) Intruder(イントルーダー): 色々な攻撃パターンを自動で試して、弱点を探します。 Repeater(リピーター): リクエストを自分で書き換えて、何度も送ってWebサイトの反応を見ます。 Sequencer(シーケンサー): Webサイトのログイン情報などの扱いに問題がないかを調べます。 Decoder(デコーダー): 暗号化されたデータを元に戻したり、逆に暗号化したりします。 Extender(エクステンダー): Burp Suiteに機能を追加できるプラグインを使えます。 専門用語が多くて難しく感じるかもしれませんが、Burp Suiteを使えば、Webサイトの見た目から、普段は見えない裏側の仕組みまで、詳しくチェックして、隠れた弱点を見つけ出せるということです。 今回は、この中でも基本となるWebサイトとのやり取りを横取りする「Proxy機能」の使い方を詳しく見ていきましょう! Burp Suiteの「Proxy機能」の使い方 Burp SuiteのProxy機能を使うと、Webサイトとブラウザの間で行われる通信(HTTPリクエスト・レスポンス)を「見える化」し、内容を自由に確認・編集できます。 これにより、Webサイトの脆弱性を発見するための様々なテストを行うことができます。 ここでは、Proxy機能を使った脆弱性診断の流れを、「基本操作」「リクエスト送信と応答確認」「応用テクニック」の3段階に分けて紹介します。 「Proxy」の基本操作 Burp SuiteのProxy機能では、具体的には、以下の3つのステップでWebサイトのセキュリティをチェックしていきます。 通信をキャッチ: Burp SuiteでWebサイトとの通信を傍受します。 内容をチェック&書き換え: 通信内容(リクエスト)を確認し、必要に応じて書き換えます。 結果を確認: 書き換えたリクエストを送信し、Webサイトからの応答(レスポンス)を確認します。 これらのステップを、パラメータの値を変えながら、あるいは別のページで、といったように繰り返し行うことで、Webサイトの様々な挙動を確認し、脆弱性につながる問題点がないかを探っていきます。 それでは、具体的な操作方法を詳しく見ていきましょう。 Burp Suiteを起動 まず、Burp Suiteを開きます。次に、上部にある「Proxy」タブを選び、さらに「Intercept」タブを選択してください。これで、通信を監視する準備が整います。 「Intercept off」を押す 「Intercept off」と書かれたボタンを押して、通信が自動的に通過する状態にします。 「Intercept on」で通信を止める 次に、「Intercept on」に切り替えます。これで、Burp Suite用のブラウザで行われる通信が一時的に停止するようになります。 通信を発生させる Burp Suite用ブラウザで、ボタンを押して通信を発生させます。(画像の場合は、「確認」ボタン)このボタンを押すと、データがサーバーに送られようとする瞬間に、Burp Suiteがその通信を止めます。 パラメータを変更する 通信が止まったら、「Request」項目内で変更したい部分(画像の場合は「name」の後ろに「test」)を追加します。これにより、サーバーに送るデータを改ざんすることができます。 変更を確認する 最後に、変更が正しく反映されていることを確認します。「Proxy」タブ内の「HTTP history」タブを開き、リクエストとレスポンスの詳細を確認します。画像の場合は、パラメータ「お名前(name)」の末尾に「test」が追加されていることが確認できるはずです。 リクエスト改ざん後は、本番環境の応答確認をする 基本操作でリクエストを改ざんしたら、実際にWebサーバに送信して、その結果を詳しく見てみましょう。 改ざんしたデータを送信 「Forward」ボタンを押して、改ざんしたリクエストをWebサーバに送信します。 Webサイトの反応を観察 Webサーバからの応答(レスポンス)や、Webサイトの表示・動作をよく観察します。 エラーメッセージが表示された場合 エラーの原因を考えます。入力した値が原因なのか、それともWebサイトがデータの改ざんを検知したのか?エラーメッセージの内容に、脆弱性の手がかりが隠されていることもあります。 正常に表示された場合 改ざんしたデータがWebサイトに受け入れられた、ということです。さらに別のパラメータを改ざんしたり、他のページで同じ操作を繰り返したりして、他に問題がないかを確認します。 予期せぬ表示・動作があった場合 例えば、他のユーザーの情報が表示されたり、管理者用のページにアクセスできてしまったり。これは、重大な脆弱性の可能性があります。 どこに問題がありそうか、当たりをつけることが、脆弱性診断の第一歩となります。 さらにステップアップ!より高度なテストにも挑戦 基本的な操作に慣れてきたら、もう一歩進んだテストにも挑戦してみましょう! 複数のパラメータを同時に変更 最初は1つのパラメータだけを変更しましたが、次は複数のパラメータを同時に変更してみます。例えば、「name」と「email」の両方を書き換えて、Webサイトがどのように反応するかを観察します。 リクエストの自動化 Burp SuiteのIntruder機能を使うと、たくさんのリクエストを自動で送信できます。手作業では大変なテストも、Intruderを使えば効率的に行えます。 レスポンスの内容を詳しく分析 Webサーバからの応答(レスポンス)をよく見ましょう。エラーメッセージはもちろん、表示される内容や、HTMLソースコードなど、あらゆる情報が脆弱性の手がかりになります。 Burp Suite Proxyを使いこなせば、Webサイトのセキュリティに関する様々な問題点を発見できます。 ぜひ、色々な操作を試して、脆弱性診断のスキルを磨いてください! まとめ:Burp SuiteのProxy機能で手動診断を体験しよう! この記事では、Burp SuiteのProxy機能を使って、Webサイトの脆弱性診断を自分で行うための基本ステップを解説しました。 Burp Suiteは無料版でも十分な機能を備えており、初心者の方でも手軽にセキュリティチェックを始められます。 セキュリティ診断を強化したい方には、さらに深い分析や自動化されたテストを提供する有料版もおすすめです。 また、専門的な支援が必要な場合は、セキュリティに関する実績豊富な専門業者に相談することも一つの選択肢です。 セキュリティ診断について「もっと詳しく知りたい」「さらに高度な診断も試してみたい」という方は、ぜひアイ・エフ・ティにご相談ください。 15年以上の実績を持つアイ・エフ・ティでは、業界シェアNo.1の診断ツール「Vex」を活用し、Webサイト、システム、そして人、全ての脆弱性対策をサポートしています。 もちろん、「ちょっと相談してみたい」という場合も、お気軽にお問い合わせください!