1. サポートセンター
  2. ドキュメント
  3. デスクトップ版
  4. ツール
  5. Sequencer
  6. 入門

Burp Sequencer入門

Burp Sequencerは、アプリケーションのセッショントークンやその他の重要なデータなど、予測困難である必要があるデータの乱数の質を分析するためのツールです。

注: Burp Sequencerを使うと、一部のアプリケーションで予期しない影響が出る可能性があります。機能や設定にしっかり慣れるまで、本番以外のシステムだけで使うべきです。

Burp Sequencerを習得するには、次の手順を実行します:

  1. まず、インストールと実行を確認し、ブラウザの設定を行い、Proxy履歴に表示されるよう対象アプリケーションへアクセスしておきます。
  2. Set-Cookieヘッダやフォームフィールドやその他の箇所で、セッショントークンや同等の値が発行されているレスポンスを、Proxy履歴から探します。(履歴でCookie列でソートすると、cookieが発行されている箇所を素早く見つけられます。)コンテキストメニューを使って、そのアイテムをBurp Sequencerに送信します。
  3. Sequencerタブに移動し、"イブキャプチャリクエスト選択"セクションで、今送信したアイテムを選択します。
  4. "レスポンス中のトークン位置"セクションで、レスポンスにトークンが出現する箇所を選択します。トークンが一般的な箇所(例えば、Set-Cookieヘッダやフォームフィールド)以外に出現する場合、"カスタム位置"オプションを選択し、ダイアログでレスポンス中のトークンを選択し、"OK"をクリックします。
  5. "ライブキャプチャリクエスト選択"セクションで、"ライブキャプチャ開始"ボタンをクリックします。するとBurpはオリジナルのリクエストを繰り返し発行し、受信したレスポンスからトークンを全て抽出します。ライブキャプチャセッションには、キャプチャの進捗と得られたトークン数を示す新しいウィンドウが開きます。数百のトークンを取得したら、ライブキャプチャセッションを停止し、"解析実行"ボタンをクリックします。
  6. 分析が完了したら、タブにランダム性テストの結果が表示されます。これらは、サンプルから推定したエントロピーの概要と、実施した各テストタイプの結果詳細を表示します。各テスト結果内に簡単なドキュメントがあります。
  7. 一部の状況で、トークンの適当なサンプルが既に得られている場合があります。Sequencerにこのサンプルを手動で読み込ませ、同じ分析を実行できます。これには、Burp UI でSequencerの手動読み込みタブに移動します。クリップボードから貼り付けるかファイルから読み込み、"解析実行"ボタンを押すと、読み込んだサンプルの解析が始まります。

Burp Sequencerを使い始めるには、次のリンクを参照してください: