Hello Friend!!
HTTPリクエストやレスポンス等の書き換えが行えるツール、BurpSuiteのインストール方法について記載していきます。
BurpSuiteとは、Webサーバーとブラウザ間の通信内容を確認することができるローカルプロキシツールのことです。Webの脆弱性を見つけるなら、このツールでほぼ全て完了します。かなり使いやすく高機能です。
ほとんどのバグハンターが使うツールでもあります。使ってないバグハンターは稀です。
BurpSuiteは下記のリンクのサイトからダウンロードできます。
https://portswigger.net/burp/communitydownloadBurpSuiteの起動
「I Accept」を押して
「Temporary project」の選択がされているので、「Next」を押す。
「Use Burp defaults」の選択がされているので、「Start Burp」を押す。
起動完了です。
BurpSuiteの初期設定
初期状態では、intercept is onになっているので、これを「Proxy」タブから「intercept」タブに移り intercept is offに変更してください。
次に、「Proxy」タブから「Options」タブに移り、一番上のProxy Listenersのポートを確認します。8080で設定されているはずです。
Webブラウザの設定
Webブラウザ側でのプロキシ設定が必要です。今回はFirefoxを使います。プロキシの設定はFirefoxの設定でも行えますが、アドオンの「FoxyProxy」を使うと楽です。
右上のメニューから「アドオン」を選択
アドオンを探すの欄に「FoxyProxy」と検索
一番上の「FoxyProxy Standard」を選択
Firefoxへ追加を押す。
右上のメニューの横に表示されます。
「Options」を選択
「Add」を選択
「Title or Description」に任意の名前を入れ、「Proxy IP」と「Port」には、Proxy IPとPortを記入する。最後に「Save」を押して保存する。
右上の「Burp」に切り替えて完了です。
BurpSuiteの証明書をインポート
このままでは、BurpSuiteの証明書がインポートされていないので、Webサイトにアクセスするとこのような画面になります。そこでBurpSuiteの証明書をインポートします。
http://127.0.0.1:8080 にアクセスして「CA Certificate」をクリックしてcacert.derを保存します。
保存したら「設定」を選択
「プライバシーとセキュリティ」を選択
一番下までスクロールして、証明書の「証明書を表示」を選択
「認証局証明書」の「インポート」を選択してcacert.derをインポートする
「この認証局によるウェブサイト・・・」にチェックを入れてOKを押す。
以上で完了です。
Happy Hunting!!