Burp Collaboratorクライアント

Burp Collaboratorクライアントを使用すると、手動テスト時にBurp Collaboratorを利用できます。

クライアントは、CollaboratorサーバのドメインのサブドメインであるCollaboratorペイロードを生成します。そしてこのペイロードを含んだリクエストをアプリケーションに送信すると、アプリケーションがCollaboratorと通信しようとするかどうかを確認できます。

クライアントは、関連する通信結果を一覧に表示します。これらの結果は、クライアントを閉じて再度開いた場合でも保持され、プロジェクトファイルの一部として保存できます。また、クライアントを閉じている間に受信した通信も表示されます。

クライアントは結果をBurp Collaboratorに60秒ごとにポーリングします。あるいは今すぐポーリングボタンをクリックすると、手動でポーリングもできます。

WAFのブラックリストによる誤検出を減らすため、公開されているCollaboratorサーバに定期的に新しいドメイン名を追加しています。Burp Collaboratorクライアントはデフォルトで、現在のバージョンのBurp Suite Professionalがリリースされた時点で利用可能な最新の公開Collaboratorドメインを常に使用します。現時点では、*.burpcollaborator.net*.oastify.comのどちらかになる予定です。

Burp Collaboratorが最大限の効果を発揮できるよう、Burp Collaboratorクライアントを実行しているマシンが、これらの両方のドメインにポート80と443でアクセスできるようにしてください。

必要に応じて複数のクライアントタブを開き、複数のペイロードからの通信を別々の一覧で追跡できます。なお、開いているタブはすべて同じポーリングスケジュールを共有しているため、タブの数が増えてもCollaboratorサーバの負荷が増えることはありません。

Collaboratorクライアントの各インスタンスは、ウィンドウが開かれた時点のCollaboratorサーバ設定を使用します。Collaboratorサーバの設定を変更した場合(たとえば、他のプライベートCollaboratorサーバを使用するなど)、その設定を使用するためには新たなクライアントウィンドウを開く必要があります。

関連ページ