1. サポートセンター
  2. ドキュメント
  3. デスクトップ版
  4. ツール
  5. Target
  6. スコープ

ターゲットスコープ

ターゲットスコープ設定はBurp Suiteの全体レベルで、どのホストとURLを現在の作業の対象とするかをBurpに設定します。ターゲットスコープは、おおよそ、現在興味を持っていて攻撃しようとしているアイテムと考えられます。

この設定は、ツール全体の動作に影響します。例:

Burpに現在の対象を伝えると、興味があり攻撃しようとしているアイテムのみに、様々なアクションが適切な方法で実行されるようになります。必要であれば全てのケースで、ターゲットスコープおよび関連する動作を個々のツールでさらに微調整でき、Burpが行う全てを詳細に制御できます。ただしスイート全体の定義は、何が正しいか、何がアクセス禁止かを素早く簡単に設定する方法で、それは作業を本格的に開始する前に設定するべきです。

スコープの定義は、"含める"リストと"除外"リストの2つのURLマッチングルールを使用します。URLが"含める"ルールのいずれか1つにマッチし、"除外"ルールのいずれにもマッチしない場合に、そのURLがターゲットスコープ内であるとみなします。スコープ内に含めたい標準的なホストやディレクトリを設定しておき、特定のサブディレクトリ(ログアウトや管理機能など)をスコープから除外できます。

"含める"と"除外"リストを、URLマッチングルールエディタを使用して追加や編集ができます。しかしほとんどの場合、ターゲットスコープを定義する最も簡単な方法は、サイトマップです。Burp Proxy経由で対象アプリケーションをマッピングすると、アプリケーションのコンテンツがサイトマップに表示されます。1つまたは複数のホストやフォルダを選択し、コンテキストメニューでこれらのアイテムを含めるまたは除外できます。このプロセスは非常に簡単で、ほとんどの状況でのすべてのテストに必要なルールを簡単に定義できます。