多くの拡張は、送信したリクエストの変更や、独自のリクエストを生成します。これらのリクエストはHTTP履歴に記録されません。HTTP履歴には、Burpを経由してプロキシされたブラウザからのトラフィックのみが表示されます。
このチュートリアルでは、拡張からのリクエストをBurp Loggerで表示する方法を学びます。これは、拡張の動作の理解や、予期せぬ動作のトラブルシューティングに役立てられます。
Burpブラウザを開き、意図的に脆弱性を作り込んだテストドメインであるhttps://portswigger-labs.net/にアクセスします。必ず、テストの許可を得たWebサイトで使用してください。
ActiveScan++拡張で、そのドメインをスキャンします。
デモ用にActiveScan++拡張を使用しています。リクエストを送信するBurpツールであれば、どのような拡張でも使用できます。拡張を追加する方法は、拡張のインストールを参照してください。
Loggerタブで、スキャンのHTTPトラフィックを表示します。これはリアルタイムで更新されます。HTTP履歴タブにトラフィックが表示されないことに注意してください。HTTP履歴にはBurpブラウザから送信されたリクエストのみが記録されます。
列の表示と非表示を切り替えるには、列ドロップダウンメニューを使用します。各リクエストを送信したツールを識別する、ツール列が表示されているか確認します。
ダッシュボードタブで、このスキャンタスク専用のログを表示できます。表示方法は、タスクLoggerを参照してください。
表示フィルタバーをクリックします。拡張から送信されたリクエストのみを表示するには、ツールでフィルタ設定で、Scannerと拡張を選択します。その他のツールの選択を解除します。
拡張がゼロからリクエストを生成する場合、拡張として表示されます。しかし、拡張が変更しただけのリクエストは、リクエストを行った元のツールとして表示されます。ActiveScan++は、既存のリクエストも変更し、独自のリクエストも生成するため、このチュートリアルではScannerと拡張の両方を選択します。
リクエストとレスポンスをメッセージエディタで表示するには、任意のエントリをクリックします。Inspectorパネルで、メッセージの潜在的な興味深い特徴を確認できます。
このチュートリアルでは、Burp拡張によるリクエストをBurp Loggerで表示する方法を紹介しました。Loggerタブの詳細は、Burp Loggerを参照してください。