1. サポートセンター
  2. ドキュメント
  3. デスクトップ版
  4. ツール
  5. Proxy
  6. 入門

Burp Proxy入門

Burp Proxyは、Burpのユーザ主導ワークフローの中心部分に位置します。ブラウザと対象アプリケーションの間でWebプロキシサーバとして動作し、インターセプト、および双方向に通過する生トラフィックの監視や変更ができます。

注: Burp Proxyを使うと、一部のアプリケーションで予期しない影響が出る可能性があります。機能や設定にしっかり慣れるまで、本番以外のシステムだけで使うべきです。

Burp Proxyを習得するには、次の手順を実行します:

  1. まず、Burpのインストールと実行を確認し、Burpが使われるようブラウザの設定ができているか確認します。
  2. Burpで、Proxyのインターセプトタブに移動し、インターセプトが有効か確認します。(ボタンが"インターセプト無効"となっていたら、クリックしてインターセプト状態を反転させます)
  3. ブラウザでどこかのURLにアクセスします。ブラウザはリクエストの完了を待っているでしょう。
  4. Burpで、Proxyのインターセプトタブに移動します。閲覧や編集用にブラウザのリクエストが表示されているでしょう。メッセージエディタの各タブ(Raw, ヘッダなど)をクリックすると、メッセージが様々な方法で分析されて表示されます。
  5. "転送"ボタンをクリックしてサーバにリクエストを送信します。多くの場合ブラウザは、ページを表示するために(画像など)1つ以上のリクエストを送信します。それらの後続のリクエストを確認し、サーバに転送します。転送するリクエストがなくなったら、ブラウザにリクエストしたURLが表示されているはずです。
  6. ブラウザで、リロードボタンをクリックしてページをリロードします。
  7. Burpで、今度はProxyのインターセプトタブでリクエストを編集してみます。リクエスト1行目のURLを、存在しないページに変更します。サーバにそのリクエスト(および後続のリクエスト)を転送します。ブラウザに戻って確認します。ブラウザは先程と同じURLを要求しましたが、Burpでリクエストをその場で書き換えたため、"Not found"メッセージが表示されているはずです。
  8. Burpで、Proxyの履歴タブへ移動します。ここには、Proxyを通過した全てのHTTPメッセージがあります。一覧から1つのアイテムを選択し、リクエストとレスポンスタブからHTTPメッセージを見てください。編集したメッセージを選択した場合は、リクエストタブが"元"と"編集後"に分割されているでしょう。
  9. Proxy履歴の、列名のどれかをクリックしてください。すると、クリックした列で一覧がソートされます。同じ列名をもう一度クリックすると逆順に、さらにクリックするとソートが解除されデフォルト順に戻ります。別の列でも試してみてください。
  10. 履歴一覧の中で、一番左のセルをクリックし、ドロップダウンメニューから色を選択します。すると選択した色でその行が色付け表示されます。別の行で、コメント欄をダブルクリックすると、コメントが入力できます。色付けとコメントで履歴に注釈を付け、気になるアイテムの特定ができます。
  11. 履歴一覧の上に、フィルターバーがあります。フィルターバーをクリックすると、利用可能なオプションが表示されます。フィルター設定をいろいろと変更し、何が履歴一覧に表示されるか確認してみてください。Proxy履歴が肥大化してきたとき、特定の種類のアイテムを非表示化すると、目的のアイテムが探しやすくなります。
  12. アイテムを履歴から選択し、コンテキストメニューを表示します(通常、マウスを右クリックします)。コンテキストメニューのオプションはBurpでのテストフローの推進に使われます。"Repeaterに送信"を選択し、Repeaterタブに移動してください。選択したリクエストが、次のテストのためにRepeaterツールにコピーされているでしょう。Burpツール間のアイテム転送に関する詳細や、テストワークフローの全体概要は、 Burp Suiteの使い方を参照してください。
  13. Proxyオプションタブに移動し、利用可能な全てのオプションを確認してください。ここで、Proxyリスナーの挙動の変更、Proxyがインターセプトするリクエストとレスポンスのルール、メッセージの自動変更、その他のプロキシの動作を制御します。詳細は、Burp Proxyオプションを参照してください。

Burp Proxyを使い始めるには、次のリンクを参照してください: