1. サポートセンター
  2. ドキュメント
  3. デスクトップ版
  4. ペネトレーションテスト
  5. ブラウザの設定

Burp Suiteが動作するようブラウザを設定する

Burpは、ブラウザと共に使用するよう設計されています。BurpはHTTPプロキシサーバとして動作し、ブラウザからの全てのHTTP/SトラフィックがBurpを経由します。Burpを使用してテストするには、ブラウザの設定が必要です。

まず、Burpのプロキシリスナーが動作しているかどうか確認する必要があります。Proxyタブのオプションタブを開き、プロキシリスナーを見てください。一覧の"起動中"欄にチェックが入っていて、"インタフェース"欄が"127.0.0.1:8080"になっている行があるはずです。もし異なる場合は、左側にある"デフォルトに戻す"ボタンを押してください。まだリスナーが起動しないようであれば、デフォルトポート(8080)でリスナーの起動ができません。一覧の行を選択し"編集"をクリックして、リスナーのポート番号を別の数字に変える必要あります。詳細は、プロキシリスナー を参照してください。

次に、ProxyリスナーをブラウザのHTTPプロキシサーバとして設定する必要があります。ブラウザのプロキシ設定で、アドレス(デフォルトは127.0.0.1)とポート(デフォルトは8080)を、HTTPとHTTPS両方のプロトコルで変更し、例外設定は空にします。詳細な方法は、ブラウザやバージョンによって異なりますが、おおよそ次の通りです:

ブラウザの設定ができたら、正しく動作しているかテストする必要があります。Burpが実行している状態で、ブラウザでどこかHTTPのURL(まだHTTPSは使わないでください)にアクセスします。ブラウザはリクエストの完了を待っている状態になるはずです。Burpで、Proxyのインターセプトタブを開きます。これらのタブに色が付いていて、メインパネルにHTTPリクエストが表示されているはずです。"インターセプト有効"ボタンをクリックすると、"インターセプト無効"に変わります。ブラウザ画面に戻ると、要求したURLが(すぐに)通常通り読み込まれているはずです。もし何かうまく動いてなければ、トラブルシューティングを参照してください。

最後に、Burp経由でブラウザがHTTPSリクエストを問題なく送信できるように設定する必要があります。Burpの基本的な操作や非HTTPS URLだけで使う場合、この手順は厳密には必要ありませんが、一度だけ実行すればよく、HTTPSを使ったアプリケーションをテストする場合にBurpを最大限活用するために必要です。これが必要なの理由は、ブラウザと宛先WebサーバとのSSL接続の間にBurpが入り込み、HTTPSメッセージを平文で表示や変更するためです。SSLはこのような行為を防ぐように設計されているため、Burpを使ってHTTPSのURLにアクセスするとブラウザはデフォルトで警告画面を表示します。HTTPSを使用しているアプリケーションを正しく機能させるためには、ブラウザにBurpの認証局(CA)SSL証明書をインストールする必要があります。詳細な方法は、BurpのCA証明書のインストールを参照してください。これが済んだら、すべてのブラウザウィンドウを閉じ、新たにブラウザを開き、どこかHTTPSのURLにアクセスします。ブラウザはセキュリティ警告を表示せず、通常通りページが読み込まれるはずです。(もしProxyインターセプトタブでインターセプトを有効にしていれば、再度無効にする必要があります)