BurpProxy?を使用したWEBアプリ検査 - 闘うITエンジニアの覚え書き

BurpProxy?を使用したWEBアプリ検査 †

• 前準備
  • BurpProxyのダウンロード・インストール
    　・http://www.portswigger.net/suite/download.html から burpsuite_v1.1.zip をダウンロードして解凍するだけ。
    　　（JRE1.5以上がPCにインストールされていない場合は、先にインストールしておく事。）

• Internet Explorerの設定
  　・Internet Explorer から [ツール] -> [インターネット オプション] -> [接続] -> [LANの設定] から下図のように設定する。
  　　◆プロキシサーバ
  　　　☑ LANにプロキシサーバを使用する
  　　　　　※サーバがローカルで動作している場合は、「ローカルアドレスにはプロキシサーバを使用しない」のチェックを外しておく。
  　
  　　◆プロキシサーバの 詳細設定

  種類	アドレス	ポート
  HTTP	localhost	8090
  Secure	localhost	8090

  　※空いているポートであれば何処でも良い。
  　　BurpProxyのデフォルトでは 8080で動作するが、Tomcat等のポートとかぶるので、ここでは8090に変更した。

• BurpProxyの使用方法
  • BurpProxyの起動
    　・suite.bat をダブルクリックするだけで起動する。
    　（jarファイルがjavaと関連づけられている場合は、burpsuite_v1.1.jar をダブルクリックでも良い。）

• BurpProxyの設定
  　・BurpProxyが動作するポートを、Internet Explorerで設定したポートに変更する。

　　※ちゃんとチェックが入っている事も確認する事。

• BurpProxyの使用開始
  　・[proxy] - [intercept] タブで [intercept is on] の状態にするだけ。

• テストの実行
  　(1) Internet Explorerから対象のアプリにアクセスする。（ここでは http://www.google.co.jp にアクセスしてみる）
  　
  　(2) BurpProxyに下図のようなリクエスト情報が表示されるので [forward] をクリックしてリクエストを素通りさせる。
  　　　（リクエストを通すと googleのページが表示される）
  　 　
  　(3) googleのキーワードに "BurpProxy" と入力して [Google検索] をクリック。
  　 　
  　(4) BurpProxyに下図のようにリクエスト情報が表示される。
  　　　※googleは GETでリクエストを行っている様子。（1行目に q=BurpProxy と表示されている ）
  　 　
  　(5) キーワード(q)の内容を "リクエストデータを書き換えるツール" に書き換えて [forward] をクリック。
  　 　
  　(6) 検索結果ページが表示される。※リスエストデータが書き変えられて送信された事がわかる。
  　 　
  　この要領で、リクエストデータを書き換えてテストができる。
  　ここではテキスト入力の書き換えを行ったが、実際にはプルダウンや、ラジオボタン、チェックBOXなど
  　画面上からは値を入力できない項目のデータを書き換えてテストする。