Burp Repeaterオプション

Burp Repeaterのオプションにより、リクエスト送信時やレスポンス受信時の、Repeaterの挙動を制御できます。すべてのタブに適用されるRepeaterオプションを設定するには、トップレベルのRepeaterメニューを使用します。

次のオプションがあります:

• Content-Lengthを更新 - リクエストのContent-Lengthヘッダを自動的に更新するかどうか制御します。リクエストにボディが含まれている場合、通常はこのオプションが不可欠です。
• gzip/deflateを展開する - レスポンスで受け取ったgzipやdeflateで圧縮されたコンテンツを自動的に展開するかどうか制御します。
• リダイレクトをたどる - 自動でリダイレクトするかどうか制御します。自動的にリダイレクトしないよう設定されている場合にリダイレクトレスポンスを受け取ると、UIの上部にリダイレクトをたどるボタンが表示されます。これで、リダイレクトを表示した後、手動でリダイレクト先にアクセスできます。この機能は、各リクエストとレスポンスのリダイレクトを順番にたどる場合に便利です。
• リダイレクト中にcookieを処理する - リダイレクトレスポンスでセットされたcookieを、リダイレクト先にアクセスする際に再送信します。これは、自動および手動のリダイレクト両方に適用されます。
• クロスドメインのリダイレクトでプロトコル選択を強制する - Repeaterはデフォルトで、クロスドメインにリダイレクトされたとき、通常通りプロトコルをネゴシエートします。このオプションを有効にすると、Inspector > リクエスト属性で選択されているのと同じプロトコルを使用して、クロスドメインリダイレクトをたどります。これは、クロスドメインリクエストを引き起こすHTTP/2特有の脆弱性をテストしている場合に重要です。
• HTTP/1行末を正規化する - Repeaterはデフォルトで、改行文字(\n)で終わっている行に対して、復帰文字(\r)を自動的に追加して、HTTP/1行末を正規化します。復帰文字は、改行文字の直前に追加されます。これにより、無効なリクエストを誤って送信するリスクが軽減されます。リクエストスマグリングなど、特定の脆弱性をテストするために意図的に改行を省略したい場合は、この機能を無効にしてください。
• HTTP/1接続を再利用する - Burp Suiteはデフォルトで、1対のHTTP/1.1リクエスト/レスポンスごとに新しいTCP接続を開きます。この設定を選択すると、Burp Repeaterはそのサーバに送信されるすべてのリクエストに対して同じ接続を再利用します。これにより、スピードとリクエストのタイミングに大きなメリットが生まれます。Burp Suiteは、開いているTCP接続が5秒間非アクティブの場合、接続を閉じます。
• HTTP/2接続を再利用する - Repeaterはデフォルトで、複数のHTTP/2リクエストに同じ接続を再利用します。接続上の最初のリクエストとその後のリクエストで、サーバが異なる方法で処理する場合は、この機能の無効化を推奨します。詳細は、HTTP/2ドキュメントを参照してください。
• HTTP/2でConnectionヘッダを削除 - デフォルトで、HTTP/2リクエストにConnectionヘッダがある場合、Burpはリクエストをサーバに送信する前にこれを削除します。これは、多くのHTTP/2サーバがこのヘッダを含むリクエストを拒否するためです。このオプションを無効にすると、強制的にヘッダを送信してみて、サーバがどのように反応するかを確認できます。
• HTTP/2 ALPNを上書きする - サーバがHTTP/2をサポートしていることをALPNで表明していない場合でも、Burp RepeaterからHTTP/2リクエストを送信できます。これにより、Burp Scannerが報告する"隠れたHTTP/2"攻撃経路の探索や、隠れたHTTP/2サポートを手動テストできます。
• アクション - リクエストとレスポンスのメッセージエディタのコンテキストメニューと同じオプションが含まれます。