Burpを使用した手動テストに外部ブラウザを使用する場合にのみこれらの手順が必要です。必要に応じてBurpブラウザを使用でき、これは既にBurp Proxyと連携するように事前設定されています。Burpブラウザにアクセスするには、Proxy > インターセプトタブに移動し、ブラウザを開くをクリックします。
BurpのCA証明書をインストールする手順は、使用しているブラウザによって異なります。選択したブラウザに証明書をインストールする方法の詳細は、次のリンクを選択してください。
BurpのCA証明書のダウンロードに問題がある場合は、トラブルシューティングページを参照してください。
これが済んだら、すべてのブラウザウィンドウを閉じ、新たにブラウザセッションを開き、どこかHTTPSのURLにアクセスします。ブラウザはセキュリティ警告を表示せず、通常通りページが読み込まれるはずです(もしProxy > インターセプトタブでインターセプトを有効にしていれば、再度無効にする必要があります)。
さらに、モバイル端末へBurpのCA証明書のインストールもできます。まず、Burp Suiteと連携するようモバイル端末が設定されているか確認してください。証明書のインストールについて、次のリンクを使用してください:
TLSの重要な機能の1つは、ブラウザが通信するWebサーバの認証です。この認証プロセスは、たとえば、偽のWebサイトが正規のWebサイトになりすますのを防ぐのに役立ちます。また中間者攻撃から保護するために、送信されたデータを暗号化し、整合性チェックを実装します。ブラウザと対象Webサーバ間のトラフィックをBurpがインターセプトするために、このTLS接続に割り込む必要があります。その結果、Burpを実行しながらHTTPS URLにアクセスしようとすると、本物のWebサーバと直接通信していないことをブラウザが検出し、セキュリティ警告が表示されます。
この問題を防ぐために、Burpは独自の認証局(CA)によって署名された、ホストごとに固有のTLS証明書を生成します。このCA証明書は、Burpを初めて起動したときに生成され、ローカルに保存されます。HTTPS WebサイトでBurp Proxyを最も効果的に使用するには、ブラウザのトラストストアに信頼されたルートとしてこの証明書をインストールする必要があります。次に、BurpはこのCA証明書を使用して、アクセスするホストごとにTLS証明書を作成し署名をして、通常どおりHTTPS URLを参照できるようにします。その後は他のHTTPメッセージと同様に、HTTPSで送信されたリクエストやレスポンスの表示や編集ができます。
この手順は厳密には、特に非HTTPS URLのみを使用したい場合は必須ではありませんが、この手順を完了しておくことを推奨します。これを行う必要があるのは1回だけで、外部ブラウザを使用しているときにBurp Suiteを最大限活用するために必要です。
信頼するルート証明書にインストールすると、その証明書の秘密鍵を持っている攻撃者は、あなたがプロキシを使用していない場合でも、検知されることなくTLS接続に対して中間者攻撃が実行できます。この脅威から保護するために、Burpは各インストールごとに一意なCA証明書を生成し、この証明書に対する秘密鍵をコンピュータ内の、ユーザが指定した場所に保存します。信頼されていない人がコンピュータのデータを読める場合は、BurpのCA証明書をインストールすべきではありません。
Burp Proxyのブラウザ内インタフェースにアクセスするには、ブラウザでhttp://burpsuiteにアクセスするか、たとえばhttp://127.0.0.1:8080のように、ProxyリスナーのURLを入力します。
Burp CA証明書をダウンロードできます。
ブラウザ内インタフェースが不要なら、Proxyオプションで無効にできます。