■ Burp Suite とは
Burp Suite は、Webアプリケーションの脆弱性診断に広く利用されている統合プロキシツールです。
ブラウザとサーバー間の通信をローカルプロキシで中継し、
リクエスト・レスポンスの可視化/改ざん/再送/自動スキャン
といった一連の操作をまとめて行えるのが最大の特徴です。
Kali Linux にも標準で収録されており、Web診断の“中心ツール”として常に名前が挙がります。
入手先はコチラ
■ Burp Suite の主な構成
Burp Suite は複数の機能モジュールで構成されています。
代表的なものは次のとおりです。
● Proxy
ブラウザとサーバーの通信を傍受し、内容を解析・改変できる Burp Suite の中心機能。
Intercept(通信の一時停止)を ON にすると、送受信前に通信内容を自由に編集できます。
● Repeater
個別のリクエストを手動で繰り返し送信し、レスポンスの変化を確認するツール。
パラメータの調整や攻撃の再現に非常に便利です。
● Intruder
多数のパラメータを自動生成して送信する攻撃シミュレーションツール。
ブルートフォース、Fuzzing、パラメータ汚染などの検証に利用されます。
● Scanner(有料版)
自動脆弱性スキャン機能。
クロスサイトスクリプティング、SQLインジェクション、CSRFなど
主要な脆弱性を自動で検出してくれます。
● Decoder / Comparer / Sequencer
-
文字列のデコード・エンコード
-
2つのレスポンス比較
-
セッションIDのランダム性分析
など、診断作業を補助するツール群です。
■ よく使う基本操作
● Intercept ON/OFF
通信を一時停止して内容を確認・編集。
ログインフォーム、Cookie、ヘッダ情報などの解析に必須。
● Send to Repeater
気になるリクエストは右クリック → Repeater へ送って
何度でも再送信しながら差分を観察できます。
● Send to Intruder
ブルートフォースやパラメータ操作時に使用。
対象パラメータを選択 → Payload を設定 → 自動送信。
■ 何ができるのか(Use Case)
-
認証・セッション管理の検証
-
XSS / SQLi の再現・確認
-
パラメータの強制変更
-
API の挙動解析
-
非推奨メソッドの確認
-
エラーメッセージ解析
-
HTTPヘッダの改ざん
-
セッションIDの強度分析
Webアプリ診断に必要な機能がほぼすべて揃っています。
■ まとめ
Burp Suite は、プロキシ・解析・攻撃再現を一体化したWeb脆弱性診断の定番ツールです。
Kali Linux に標準搭載されているため導入も簡単で、手動診断から自動スキャンまで幅広く活用できます。
▼ 関連記事(Kali Toolsシリーズ)