DOM Invaderのメイン設定

DOM Invaderの設定メニューにアクセスするには、ブラウザの右上にあるBurp Suiteのロゴをクリックし、DOM Invaderタブに切り替えます。

DOM Invaderのメイン設定

Main settingsには、次のオプションがあります。

DOM Invaderの有効化

DOM Invaderを有効化するためのグローバルトグルです。DOM Invaderは、その機能の一部が他のテストに影響を与える形で対象サイトの機能を妨害する可能性があるため、デフォルトでは無効になっています。DOM Invaderを有効にすると、ブラウザのデベロッパーツールパネル内のタブからアクセスできます。

Postmessageインターセプト

この設定を有効にすると、デベロッパーツールパネルのMessagesビューで、サイトのWebメッセージのDOM XSSをテストできます。DOM InvaderのWebメッセージ機能の詳細は、Webメッセージを使用したDOM XSSのテストを参照してください。

また、この動作を微調整するための追加設定もいくつかあります。詳細は、Webメッセージの設定を参照してください。

ソースとシンクのカスタマイズ

ソースとシンクの設定を開くには、メインのDOM Invaderスイッチの横にある歯車のアイコンをクリックします。ここから、DOM Invaderがどのソースとシンクを調査するかを制御できます。すべてのソースはデフォルトで非表示で、最も興味深いシンクのみが対象になっています。

ソースとシンクのカスタマイズ

特定のシンクを対象にするとサイトの正常な動作を妨げる場合、それを無効にしたいことがあります。たとえば、eval()を対象にすると、その挙動が変化し関連する機能が破壊される可能性があります。