Proxyツール Burp Suite編
Secgiraffe「何かProxyツールの利用の経験はありますか?」
個人的な感覚ですが、10年程前に脆弱性診断領域のセキュリティベンダーに入社や転職しようと考え面接を受けに行くと、冒頭の質問をよく受けた記憶があります。その当時は脆弱性診断においてHTTP(S)通信を解析するProxyツールとしてZAP(ZAP by Checkmarx)、Fiddler、Burp Suiteが良く使われていた認識です。ですので当時の私は一通り全てに触っておき、最低限度の操作方法を確認しておきました。そして、時がたち。。。
「Burp Suite使えます?」
極端な表現を使っていますが、最近はこう聞かれることが多くなった印象です。そして、自分がエンジニアの採用側に回ってみると、脆弱性診断業務の経験が無いもしくは浅い候補者の方からBurp Suiteの利用経験があることをアピールされることも増えました。そうなんです、老舗で独自proxyツールを使っているセキュリティベンダーやカスタマイズ性を重視するエンジニアを除けば、なんかいつの間にかBurp Suiteが市場を席巻していたのです。脆弱性関連を解説する技術ブログにおいても、ほとんどBurp Suiteで通信を確認や改ざんしている画像をよく目にします。また、初学者向けの書籍でもBurp Suiteが紹介されるようになった認識です。(※あくまで、個人の感覚です)
なので、これからWebアプリケーションの脆弱性診断をやってみたいという方には、とりあえずBurp SuiteのCommunity Edition(無料版)を操作してみることを勧めています。
また、どのくらい操作できるようになればいいか?とも質問されることもあったので、以下の点をやっておけばWebアプリケーションの脆弱性診断をやってみたいという意欲を示せるのではないかと助言しています。
- Burp suiteで通信を確認できるようにするために、ブラウザの設定を行ってみる
- 実際に通信のリクエストとレスポンスを確認してみる
- Repeater機能でリクエストを再送してみる
- PortSwigger社のWebSecurityAcademyで軽く遊んでみる
最初のうちは英語のツールなので慣れないと思いますが、使う機能は限られているので案外すぐに使いこなせるようになるかと思います。
大切なポイントとしては、Proxyツールを利用してHTTP(S)の通信を確認・操作する感覚を身に着けることだと思っています。もちろんツールによって機能や操作性が異なり、学習コストも必要になります。限られた時間の中で初めてProxyツールを学習しようと考えている方には、ユーザーの利用状況やインターネット上の情報量を加味して、Burp Suiteを触ってみるのがよいのではないかというお話でした。
