technical note

Burp Suite Community Edition 使い方メモ

Burp Suite はじめて使った。

設定とか忘れそうなのでメモ。

https://portswigger.net/burp

バージョン:v2020.5.1

 フォントサイズを変更する

全体的にすんごいちっちゃいの!

「User options」タブ→「Display」タブで、「 User Interface」と「HTTP Message Display」のところを変更。

こんな感じ。

保存ボタンは特にない。設定を反映させるには、Burp Suiteを再起動します。

Proxyの設定をする

(自宅作業)ブラウザー ←→ BurpSuite (Proxy) ←→ サーバー(社内のサーバー)

こんなイメージでよいと思うのだが、Proxy部分の設定をします。社内のサーバーにはVPNで接続しています。

「Proxy」タブ→「Options」→「Proxy Listeners」。ここに 127〜がなければ作る。

こんな感じ。

同じタブの「Intercept Client Requests」の Intercept requests based on the following rules をチェックする(はじめからチェックついていたかも..覚えていない)

Intercept Sever Response」の Intercept responses based on the following rules もチェックを付ける。

PCのプロキシー設定で Proxy Listeners で設定したものと同じものを設定する。(保存ボタンをよく押し忘れる。OFFにするとき不要っぽいのに。。)

あってるかわからないけど、これでやりたいことはできた。

リクエストとレスポンスをみる&書き換える

「Intercept」タブの「Intercept is off」をクリックし「Intercept is on」の表示にします。キャプチャ準備完了。

ブラウザーからリクエストを投げます。(ボタンとかリンクをぽちる)

ブラウザー → BurpSuite (Proxy) → サーバー

 

BurSuiteがリクエストを拾います。(ブラウザーはレスポンスを受信するまでぐるぐる中)

ブラウザー BurpSuite (Proxy) → サーバー

書き換えたい値を書き換えて「Forward」ボタンをクリックします。

ブラウザー BurpSuite (Proxy) サーバー

 

レスポンスが戻ってくると、またBurpSuiteでいったん停止します。

ブラウザー BurpSuite (Proxy) ← サーバー

なかみを確認しながら「Forward」をぽちぽちします。

ブラウザー BurpSuite (Proxy) ← サーバー

 

途中でやめたいときなんかは「Intercept is off」にする。

おわりに

Firefoxのデベロッパーツールで似たようなことしたことあるけど、このツール、お手軽でなかなか良い。

Burp Suite と同様な製品で、OWASP ZAP や Fiddler というのがあるみたい。

-technical note

© 2021 Mikke's blog