Loggerタブには、Burpの全ツールと対象Webサイトの間で送受信されたすべてのHTTPトラフィックが表示されます。これには、Burp Scannerのような自動的にリクエストを送信するツールや拡張も含まれます。
このチュートリアルでは、Burp Scannerが送信したリクエストと対象Webサイトからのレスポンス結果を表示するために、Burp Loggerを使用します。
BurpブラウザとLoggerタブを並べて開きます。
Burpブラウザで次のURLにアクセスします:
https://portswigger.net/web-security/sql-injection/lab-retrieve-hidden-dataAccess the labをクリックしプロンプトが表示されたら、自分のPortSwiggerアカウントでログインします。すると、意図的に脆弱性を作り込んだあなた専用のショッピングサイトが開きます。
ショッピングサイトで、カテゴリフィルタをどれか適用します。Loggerタブはリアルタイムで更新されます。#列ヘッダをクリックすると、最新のリクエストが上に来るようにログをソートできます。categoryクエリーパラメータが付いたリクエストに注目してください。
categoryクエリパラメータが付いたリクエストを右クリックし、アクティブスキャン実行を選択します。Burp Scannerは、このリクエストの診断を実行します。
ツール列を調べ、Burp Scannerが診断中に行ったリクエストを確認します。リクエストを選択すると、メッセージエディタに表示されます。
Burp Scannerのリクエストは、プロキシを設定したブラウザを経由して送信されたわけではないので、HTTP履歴には表示されません。Burp Scannerが診断中に行ったリクエストは、Loggerタブにのみ表示されます。
表示するリクエストをフィルタリングするには、表示フィルタバーをクリックします。
そもそもどのリクエストを記録するかも制御できます。これを行うには、キャプチャフィルタバーをクリックします。これらの設定では、ログが使用できるメモリ量や、保存されるリクエストとレスポンスの最大サイズも制御します。詳細は、Burp Loggerオプションを参照してください。
すべてのアイテムのログを無効にするには、ログ: オン/オフボタンをクリックします。
ログを完全に消去するには、画面右上のゴミ箱アイコンをクリックします。消去してしまうと、ログは復旧できません。
このチュートリアルでは、Burp Suiteから送信されるリクエストをBurp Loggerで調査する方法を紹介しました。