1. サポートセンター
  2. ドキュメント
  3. デスクトップ版
  4. ツール
  5. Repeater
  6. Burp Repeaterの使い方

Burp Repeaterの使い方

Burp Repeaterは、HTTPメッセージやWebSocketメッセージを手動で操作や再発行をし、アプリケーションのレスポンスを分析するための、シンプルなツールです。入力ベースの脆弱性をテストするためにパラメータ値を書き換える、ロジックフローをテストするために特定の順序でリクエストを発行する、Burp Scannerが報告したBurp Scanner issueを検証するためにリクエストを再送するなど、様々な目的にRepeaterが利用できます。

RepeaterのUIのそれぞれ個別のタブで、複数の異なるメッセージを同時に操作できます。Repeaterにメッセージを送信すると、それぞれが個別の番号付きタブで開かれます。タブヘッダをダブルクリックすると名前変更ができます。

Burp Repeaterの使い方(HTTPメッセージ)

Burp RepeaterでHTTPメッセージを使用するには、Burpの任意の場所でHTTPメッセージを選択し、コンテキストメニューから"Repeaterに送信"を選択します。Repeaterに新しいリクエストタブが作成され、対象の詳細や関連する詳細をリクエストメッセージエディタに自動的に設定します。または、手動で新規のRepeaterタブを開き、"HTTP"オプションを選択します。

HTTPメッセージでは、各Repeaterタブに次のアイテムがあります:

HTTPリクエスト送信

リクエストを送信する準備ができたら、"送信"ボタンをクリックしサーバに送信します。レスポンスを受信すると、レスポンス長とタイマー(ミリ秒)とともにレスポンスが表示されます。リクエストとレスポンスのメッセージを分析しさらにアクションを実行するために、通常HTTPメッセージエディタの機能が使えます。

HTTPリクエスト履歴

Repeaterの各タブは、その内で作られたリクエストのタブ固有のヒストリーを保持します。"<"と">"ボタンをクリックして履歴を後方・前方に移動し、各リクエストとレスポンスを表示できます。ドロップダウンボタンを利用すると、最近の履歴アイテムのリストが表示され、それらに素早く移動できます。履歴の任意の時点で、現在表示されているリクエストを編集して再発行できます。

Burp Repeaterの使い方(WebSocketメッセージ)

Burp RepeaterでWebSocketメッセージを使用するには、Proxy履歴でWebSocketメッセージを選択し、コンテキストメニューから"Repeaterに送信"を選択します。または、新規のRepeaterタブを開き、"WebSockets"オプションを選択します。

WebSocketメッセージでは、各Repeaterのタブに次のアイテムがあります:

WebSocketメッセージの送信

送信するメッセージの編集や、サーバあるいはクライアントに対して送信するか選択ができます。クライアントにメッセージを送信するオプションは、Burp Proxy経由で接続が開いている場合のみ有効です。

メッセージを送信する準備ができたら、"送信"ボタンをクリックしメッセージを送信します。

オプションで、メッセージを送信した後に受信した次のメッセージを、履歴テーブルで自動的に選択できます。

WebSocketメッセージ履歴

履歴テーブルには、送受信した全てのメッセージが表示されます。Burp Repeaterで手動で作成されたメッセージは、"Repeater"列で区別できます。メッセージを選択すると下部のペインに表示ができます。

履歴からメッセージを再送信したい場合は、コンテキストメニューの"編集して再送信"オプションを選択します。これにより左側のメッセージエディタの選択したメッセージが表示され、必要に応じてメッセージを変更し、送信できます。

Repeaterオプション

Content-Lengthヘッダの自動更新、圧縮コンテンツの展開、リダイレクトの遷移など、Burp Repeaterには様々なオプションがあります。Repeaterメニュー経由でオプションにアクセスできます。

Requestタブの管理

Repeaterのリクエストタブは簡単に管理できます。以下が可能です: