1. サポートセンター
  2. ドキュメント
  3. デスクトップ版
  4. ウェブサイトのスキャン
  5. クロールオプション

クロールオプション

巡回ベースのスキャン中のBurp Scannerの挙動を設定する多数のオプションがあります。これらはスキャン開始時にその場で設定でき、またBurpの設定ライブラリで管理もできます。

クロールの最適化

これらの設定は、クロールの目的とアプリケーションの性質を反映するためにクロールロジックの動作を制御します。

最大リンク深度とは、クローラによる開始URLから作成されるナビゲーション遷移(リンクのクリックやフォームの送信)の最大回数です。最近のアプリケーションは、メニューやページフッターのような場所で、全てのレスポンスに大量のナビゲーションを構築する傾向があります。このため通常は、開始URLから少数のホップで、アプリケーションの大部分のコンテンツと機能に到達ができます。アイテムの表示、ショッピングカートへの追加、チェックアウトなど、多段階のプロセスを完全に網羅するには、さらに多くのホップが必要です。

一部のアプリケーションでは、非常に長いナビゲーションシーケンスが含まれていても、興味深い違いのある機能ではない場合があります。例えばショッピングアプリケーションでは、膨大な数の商品カテゴリ、サブカテゴリ、および表示フィルタがある場合があります。クローラにとってこれはリンクの非常に深いネストされたツリーとして表示され、すべて異なるコンテンツを返します。このような場合、ナビゲーション構造の深くまで入り込むことにほとんど意味がないため、最大リンク深度を8など小さな数に制限するのが適当です。

クロール戦略

現実世界のアプリケーションは、コンテンツやナビゲーションの構成方法、レスポンスの揮発性、アプリケーション状態の種類や複雑さの点で、全く異なっています。極端な例では、アプリケーションはそれぞれの異なる機能について固有で安定したURLを使い、各レスポンスで固定のコンテンツを返し、サーバ側の状態が含まれません。他の極端な例では、機能にアクセスする都度変化する短命なURL、異なる機能への異なるナビゲーション経路でアクセスすると頻繁に変化するURL、非確定に変わる揮発性のコンテンツ、ユーザの操作によってその後に観察される内容や動作が変化する重度のステートフルな機能、などを使用しています。

Burpのクローラは、これらの両極端を処理できます。必要に応じて、短命で頻繁に変化するURL揮発性のコンテンツアプリケーション状態の変化を処理できます。ただし、これらのケースを完全に処理すると、クロール作業に大幅な負荷が発生します。クロール戦略の設定を使用して、指定したアプリケーションに適用されるアプローチを調整できます。実際にこの設定は、クロールの速度と達成される網羅性とのトレードオフになります。デフォルトの戦略は、一般的なアプリケーションで網羅性と速度のバランスが取れています。より安定してユニークなURLを使っていて、ステートフルな機能がないアプリケーションをクロールする場合は、より速度を最適化した戦略を選択できます。あるいは、より揮発的で頻繁に変わるURLや、複雑なステートフル機能のアプリケーションをクロールする場合は、より網羅性を最適化した戦略も選択できます。

クロール制限

最新アプリケーションのクロールは、ステートフルな機能、不安定なコンテンツ、および無制限のナビゲーションのおかげで、終わりがない場合があります。Burpのクローラは様々な手法を使用して、クロールの初期段階でユニークなコンテンツを最大限発見しようとします。クロール制限の設定では、効果が減少する点に達する程度に、クロール範囲に制限がかけられます。一般的に、スキャンされるアプリケーションに関する知識に基づいて、クロール範囲の制限を設定するのが妥当です。

以下に基づいてクロールを制限できます:

ログイン機能

これらの設定は、クロール中に検出されたログイン機能に対するクローラの処理方法を制御します。

別にアプリケーションログインの設定があり、ログイン後の認証コンテンツにアクセスするための、ログイン機能に送信する既存のアカウント資格情報の指定ができます。ここでは、次の設定ができます:

クロール中のアプリケーションエラーの処理

これらの設定はBurp Scannerの、スキャンのクロールフェーズで発生するアプリケーションエラーの処理方法 (接続失敗や送信タイムアウト)を制御します。

次のオプションを設定できます:

空白のままにしておくと、無効にできます。

その他クロール設定

クロールの詳細をカスタマイズできます: