hack the box (その18) Burp Suiteの解説と使用方法 ~魔法使いへの道~

未分類

はじめに

Burp Suiteは,Webアプリケーションのセキュリティテストに使用される統合ツールセットです.これは,Intercepting Proxy,Scanner,Repeater,Sequencer,Decoder,Comparer,Collaborator,Intruderなどの多数の機能を備えています.

Burp Suiteは,Webアプリケーションのセキュリティテストに欠かせないツールであり,セキュリティ上の問題を特定し,解決するために重要な情報を提供します.以下は,Burp Suiteが提供する主要な機能について説明します.

ツールの応用先

https://hamaruki.com/the-road-to-wizard-hacker/

https://hamaruki.com/hack-the-box-under-construction-walkthrough-1/

Features of Burp Suite

Intercepting Proxy

Burp SuiteのIntercepting Proxyは,Webアプリケーションがクライアントとサーバー間でやり取りする情報を監視できる機能です.この機能を使用することで,送信されるリクエストや受信されるレスポンスを視覚的に確認し,必要に応じて変更することができます.

Scanner

Scannerは,自動的にWebアプリケーションをスキャンして脆弱性を特定する機能です.この機能は,ブラックボックステストとして使用され,Webアプリケーションのハッカーによる攻撃を模倣することができます.

Repeater

Repeaterは,Burp Suite内でリクエストとレスポンスを繰り返すことができる機能です.この機能は,Webアプリケーションの動作を検証するために使用されます.

Sequencer

ランダムに生成されたトークンやパスワードなどのデータを分析するためのツールです.Sequencerは,分析されたデータの乱雑さやランダム性を評価し,パスワードやセキュリティトークンの品質を測定することができます.

Decoder

Decoderは,Base64やURLエンコードなどのエンコード形式をデコードする機能です.この機能を使用することで,暗号化された情報を可読性の高い形式に変換することができます.

Comparer

Comparerは,2つのリクエストまたはレスポンスを比較し,異なる点を視覚的に表示する機能です.この機能を使用することで,アプリケーションの異常な動作を特定することができます.

Collaborator

Collaboratorは,Webアプリケーションと通信するためのサーバーとして機能する機能です.この機能を使用することで,アプリケーションが外部サービスにアクセスする場合に,そのアクセスを監視することができます.

Intruder

Intruderは,リクエストパラメータを変更し,繰り返し送信することができる機能です.この機能を使用することで,Webアプリケーションの脆弱性を特定し,攻撃を模倣することができます.

事前準備(google-chromeのインストール)

wgetのインストール


┌──(maki㉿kali)-[~]
└─$ sudo apt -y install wget

google-chromeをwgetでインストール


┌──(maki㉿kali)-[~]
└─$ wget https://dl.google.com/linux/direct/google-chrome-

google-chromeをインストール


┌──(maki㉿kali)-[~]
└─$ sudo apt install ./google-chrome-stable_current_amd64.deb

google-chromeの起動


┌──(maki㉿kali)-[~]
└─$ google-chrome

無事にgoogle-chromeを起動できました.

hack-the-box-burp-suite-description-and-use

Burp Suiteのインストール方法

Burp Suiteのインストールには,次の手順が必要です.

  1. Burp Suiteをダウンロードする.
  2. ダウンロードしたファイルを展開する.
  3. Burp Suiteの実行ファイルを実行する.

Burp Suiteの使い方

Burp Suiteの基本的な使い方は,次の手順に従います.

  1. Burp Suiteを起動する
  2. プロキシタブを押す
  3. トラフィックをインターセプトする.
  4. ブラウザを開く
  5. URLからアクセスする
  6. インターセプトした内容が表示されます.
┌──(maki㉿kali)-[~]
└─$ burpsuite 
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
Your JRE appears to be version 11.0.16 from Debian
Burp has not been fully tested on this platform and you may experience problems.

hack-the-box-burp-suite-description-and-use

Burp Suiteの使用上の注意点

Burp Suiteを使用する際には,次の注意点に留意することが重要です.

  • テスト対象のWebアプリケーションのスコープを理解する.
  • 最新バージョンに常にアップデートする.
  • 他のツールと組み合わせて使用する.

結論

Burp Suiteは,Webアプリケーションのセキュリティテストに欠かせない統合ツールセットであり,多数の機能を提供しています.これを使用することで,Webアプリケーションのセキュリティ脆弱性を特定し,修正することができます.Burp Suiteの機能を十分に活用して,Webアプリケーションのセキュリティを向上させることをお勧めします.

よくある質問

Q1. Burp Suiteは,どのようなアプリケーションに使用できますか?

A1. Burp Suiteは,Webアプリケーションのセキュリティテストに使用することができます.ただし,テスト対象のアプリケーションのスコープを理解し,倫理的なハッキングの実践を維持することが重要です.

Q2. Burp Suiteのインストール方法は?

A2. Burp Suiteをダウンロードし,展開したファイルを実行することで,インストールが完了します.

Q3. Burp Suiteでどのようなテストができますか?

A3. Burp Suiteでは,セキュリティスキャンやFuzzing,リクエストの変更,リクエストやレスポンスの比較など,多数のテストが可能です.

Q4. Burp SuiteでWebアプリケーションを攻撃することはできますか?

A4. Burp Suiteは,倫理的なハッキングの実践に基づいて設計されており,Webアプリケーションの脆弱性を特定するために使用することができます.しかし,攻撃行為を行うことは違法であり,絶対に行ってはいけません.

Q5. Burp Suiteの使用には,どのようなスキルが必要ですか?

A5. Burp Suiteの基本的な操作には,WebアプリケーションやHTTP通信に関する基礎的な知識が必要です.また,セキュリティテストに関する知識があると,より効果的に利用することができます.

参考サイト

What is Burp Suite? - GeeksforGeeks
A Computer Science portal for geeks. It contains well written, well thought and well explained computer science and programming articles, quizzes and practice/c...

コメント

タイトルとURLをコピーしました