1. サポートセンター
  2. ドキュメント
  3. デスクトップ版
  4. ツール
  5. Proxy
  6. Burp Proxyの使い方

Burp Proxyの使い方

Proxyツールは、Burpのユーザ主導ワークフローの中心部分に位置し、対象アプリケーションの詳細な動作を直接表示します。Webプロキシサーバとして動作し、中間者攻撃のようにブラウザと宛先のWebアプリケーションの間に配置します。これにより、通過する双方向の生トラフィックを傍受・監視・変更できます。

アプリケーションがHTTPSを使っている場合、Burpはブラウザとサーバの間でSSL接続を解読し、Proxyが暗号化されたデータの閲覧や変更をできるようにします。

設定方法

Burpとブラウザがお互いに動作するために、次の設定が必要です。これらのアイテムについてさらにヘルプが必要な場合は、Burp Suite入門のヘルプを参照してください。

設定を行ったら、ブラウザで任意のURLにアクセスし、Burp ProxyのInterceptタブに移動します。うまく動作していれば、閲覧と変更のためHTTPリクエストが表示されるのがわかります。全てのエントリが Proxy履歴タブにも表示されます。ブラウジングを継続するには、Interceptタブに表示されたHTTPメッセージを転送する必要があります。

リクエストとレスポンスのインターセプト

レビューや変更のため、Burp Proxyがインターセプトした個々のHTTPリクエストとレスポンスがInterceptタブに表示されます。この機能は、Burpのユーザ主導ワークフローの重要な部分です:

インターセプトしたリクエストやレスポンスは、メッセージを素早く分析や操作できるように設計された多くの機能を持った、HTTPメッセージエディタに表示されます。

デフォルトで、Burp Proxyはリクエストメッセージのみをインターセプトし、かつテストに直接関係なさそうな一般的なファイル拡張子(画像、CSS、JavaScript)のURLはインターセプトしません。インターセプトオプションでこのデフォルトの動作を変更できます。例えば、パラメータが付いたスコープ内のリクエストのみインターセプトする、またはHTMLを含む全てのレスポンスをインターセプトする、などBurpを設定できます。さらに、Burpのインターセプトを完全にオフにし、全てのHTTPメッセージをユーザの介入なしに自動的に転送させたい場合がよくあります。これは、Interceptタブのマスターインターセプトトグルでできます。

Proxy履歴の使い方

Burpは、Proxyを経由したリクエストとレスポンスの全ての履歴を管理しています。これにより、ブラウザとサーバ間の通信をレビューでき、アプリケーションの機能の理解、または重要なテストタスクの実行ができます。時々、Proxy履歴のリクエストとレスポンスを注意深くレビューする前に、 Interceptタブでインターセプトを完全に無効化してアプリケーションの機能の一部を自由に巡回したい場合があります。

Burpには、Proxy履歴の解析を補助する次の機能があります:

Burp Proxyのテストワークフロー

Burpのユーザ主導ワークフローの重要な部分は、気になるアイテムをBurpの他のツールに送り異なるタスクを実行する機能です。例えば、Proxyの観察で気になるリクエストに対して、以下ができます:

これらやその他様々なアクションは、InterceptタブProxy履歴どちらのコンテキストメニューからでも実行できます

重要な設定オプション

さらに専門的なタスクや特殊なアプリケーションをテストする場合は、Burpの多数のオプションをいくつか変更する必要があります: