Target > サイトマップタブは、BurpブラウザでアクセスしてBurpが収集した、Webサイトに関するすべての情報を表示します。サイトマップ自体は、サイトのコンテンツを階層的なツリーで表示します。次のように整理されています:
デフォルトで、Burpブラウザを使用してアクセスしたサイトの情報がサイトマップに自動的に入力されていきます。テストワークフローの一部としてサイトマップを使う方法は、下記のチュートリアルを推奨します。
サイトマップ機能の詳細は、完全なドキュメントを参照してください。
このチュートリアルでは、サイトマップの主な機能と、他のツールとの連携について学びます。
Burpブラウザを開き、次のURLにアクセスします:
https://portswigger.net/web-security/logic-flaws/examples/lab-logic-flaws-excessive-trust-in-client-side-controlsAccess the labをクリックしプロンプトが表示されたら、自分のPortSwiggerアカウントでログインします。すると、意図的に脆弱性を作り込んだあなた専用のサイトが開きます。
Burpで、Target > サイトマップタブに移動します。脆弱なラボのサイトのノードを展開します。
見ての通り、Burpは既にサイトマップへの入力を開始しています。
一部のアイテムがグレーアウトしていることに注目してください。Burpはこれらのアイテムが存在すると予測していますが、ブラウザはまだそれらに対するリクエストとレスポンスを行っていません。これはおそらく、すでに受け取った別のレスポンスにそのURLが表示されているためです。
サイトマップはブラウズ中に自動的に更新されます。グレーで表示されているアイテムで気になるものがあれば、サイトマップからURLをコピーして、Burpブラウザにペーストしてください。
サイトマップタブには、各アイテムの最初のリクエストとレスポンスなど、さまざまな情報を表示するパネルがあります。Burp Suite Professionalを使用している場合、Burp Scannerが発見したセキュリティの問題一覧も表示されます。
サイトマップのノードを選択します。パネル内の情報は、選択されたノードに応じてフィルタリングされていることに注目してください。
またサイトマップでは、Burpのターゲットスコープを簡単に設定できます。ラボのトップレベルのノードを右クリックし、スコープに追加を選択します。スコープ外のトラフィックをプロキシしないようプロンプトが表示されたら、はいをクリックします。
興味のない特定のパスやサブディレクトリをスコープから除外したい場合があります。resources > imagesノードを右クリックし、スコープから除外を選択します。
次に、Target > スコープタブに移動します。ラボのドメイン全体がスコープ内ですが、/resources/imagesディレクトリは除外されていることがわかります。
興味のないアイテムは、サイトマップから削除もできます。これらは、スコープを設定する前に追加されたドメインである可能性があります。アイテムを選択して右クリックし、選択したアイテムを削除を選択します。