2024.05.24 セキュリティ sekoguchi

Burp Suiteで脆弱性診断してみた～環境準備編～

Burp Suiteを使用して脆弱性診断をやってみました。前回行ったOWASP ZAPの脆弱性診断とは違い、今回は環境準備編と診断編に分けて執筆します。※学習のため脆弱性診断可能なサイトを診断しています。

目次

[手順の概要]
[実行環境]
[設定手順]
[まとめ]

手順の概要

DVWAの起動
Burp Suiteのインストール
プロキシの設定
スコープの設定

実行環境

Amazon EC2
Amazon Linux
XAMPP
DVWA
Burp Suite
Google Chrome

設定手順

DVWAの起動

最初にEC2にXAMPP、DVWAをインストールし起動します。インストール方法は下記リンクを参照してください。
https://www.skyarch.net/blog/?p=21942

Burp Suiteのインストール

下記サイトでBurp Suiteをインストールしましょう。Burp Suite Community Editionであれば無料でインストールできます。
https://portswigger.net/burp/releases/professional-community-2023-11-1-3?requestededition=community&requestedplatform=

プロキシの設定

PC側、Burp Suiteでプロキシ設定をします。設定→ネットワークとインターネット→プロキシをクリックしアドレスとポートを入力。
今回は標準のアドレスとポートを使用しています。

Burp Suiteを起動、プロキシの設定を行います。起動すると一時的にプロジェクトを作成しますかと表示されるため、そのままnextで進みプロジェクトをスタートしてください。
プロジェクトを作成できたらPloxyタブがあるのでそちらを押下し、settingを押下します。

先ほどPC側で設定したプロキシを入力します。

スコープの設定

ここからスコープの設定に移ります。TargetタブのScope settingを開きます。

include in scope欄に対象のURLを張り付けます。

対象のURLを開くと下記のように表示されます。

スコープを設定することで対象のURLを診断することが可能となります。URLの中で診断したくない箇所があれば、excludeの欄で除外設定することも可能です。

まとめ

今回は環境事前準備として、脆弱性診断で使用するサイト、ツールのインストールと設定を行いました。次回は実際に診断を行いますので、よかったら覗いてください。

AWS・クラウドのMSP スカイアーチネットワークス株式会社

AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。AWS・クラウド導入における構築から監視・運用保守までをマネージドサービスで提供する、スカイアーチネットワークスの公式サイト。AWS・クラウドを始め、豊富なサーバー管理の経験と安心のセキュリティ対策、専門エンジニアの確かな知識で、お客様のビジネスの成長をサポートします。

投稿者プロフィール

sekoguchi

最新の投稿

セキュリティ2024年6月17日脆弱性診断とは？
セキュリティ2024年5月27日Burp Suiteで脆弱性診断してみた～診断編～
セキュリティ2024年5月24日Burp Suiteで脆弱性診断してみた～環境準備編～
セキュリティ2023年12月22日SQLインジェクション攻撃とは