2008年6月4日水曜日

Burpsuite (Burp Proxy) の使い方


今日はよい子のためのWebセキュリティの講座です!
Web Vulnerability Scanners でいいのがリストされているページがあるので見ましょう。

http://sectools.org/web-scanners.html



 
このサイトにはセキュリティ関係のツールが
沢山紹介されています。
もちろん、全OS対象ですので安心です。

今日はこの中から6位にランキングされている
Burpsuite(バープスイート)というツールを導入
してみましょう。

Burpsuite : An integrated platform for attacking web applicationsBurp suite allows an attacker to combine manual and automated techniques to enumerate, analyze, attack and exploit web applications. The various burp tools work together effectively to share information and allow findings identified within one tool to form the basis of an attack using another.
訳:こいつはグレイトなツールだ! Webのアタックにも使えるぜ!ha-ha-ha-!



Burp suite のダウンロードは以下から行えます。
http://portswigger.net/suite/download.html

Windows版 http://portswigger.net/suite/burpsuite_v1.1.zip
Linux版   http://portswigger.net/suite/burpsuite_v1.1.tar.gz




今回はWindows版をダウンロードします。
解凍すると、左のようなファイル群が出てきます。
特にインストール作業は無いようですので、不要になればディレクトリごと削除して下さい。


ここで suite.bat を実行すれば burpsuite が動作するわけですが、今の段階では何も起こりません。
サイトをよく見ると

Burp Suite is a Java application, and runs on any platform for which a Java Runtime Environment is available. It requires version 1.5 or later. The JRE can be obtained for free from http://java.sun.com/j2se/downloads.html.
訳:バープスイートはJavaアプリだから、Java ランタイム v1.5以上 が無いと動かないんだよね。


と書いてありました。

JREが必要、というわけで、Java ランタイムを落とします。
sunのサイトを見るとバージョンがいろいろあって迷いますが、私はJava Runtime Environment (JRE) 6 Update 6 を入れました。
Java SE Runtime Environment 6 Windows Offline Installation






jre-6u6-windows-i586-p.exe (JRE 6本体)





jre-6u6-windows-i586-p.exe を実行するとインストーラーが起動します。
長いので説明は読まずに同意して下さい。







特にWindowsの再起動は必要ありません。
先ほどの suite.bat を実行すると、今度はDOSのウィンドウが開いてburpsuite が起動します。










●Burp Suite の設定方法


起動した直後の画面です。
基本的な機能としては

リクエスト
Webサーバ <----- BurpSuite <----- ブラウザー
応答
Webサーバ -----> BurpSuite -----> ブラウザー

といった具合に、ブラウザーとWebサーバの中間に立って、リクエストやデータを横取りしてしまおうという機能です。
もちろん BurpSuite 上で、サーバに渡る直前のデータを改変して渡すことも可能です。
一般的に、FORM からの送信内容をブラウザー側のJava Script で入力チェックをし、問題の無いデータをサーバに送信するといった仕組みも多く存在します。
そのような、ブラウザーでのエラー確認の機構をすり抜けてチェックをかけることができます。


まずはブラウザーの設定から

IE の
[ツール]→ [インターネットオプション]→ [接続]→ [LANの設定]
からプロキシーの設定をします。





Burpsuite は Proxy として動作します。
個別の環境で変更も可能ですが、下記のデフォルト設定でまず問題はありません。

■LANにプロキシーサーバを使用する にチェック
    アドレス  [ 127.0.0.1 ]
    ポート   [ 8080 ]


通常の環境であれば、設定は以上で完了です。


もし、あなたの環境が Proxy を使用しなければ Webサーバにアクセスできない場合は、Burpsuite の [ comms ] タブをクリックしプロキシーサーバを経由するよう設定を追加しましょう。

■ use proxy server  にチェックを入れる
   server [ プロキシーサーバのIP]
   port [ プロキシーにアクセスするためのポート]



   

Webサーバ <--- Proxy <--- Burpsuite <--- ブラウザ という構造になります。 ちなみに、うちの環境の場合だとこんな設定です。




●BurpSuite の使用方法



例として、ブラウザー上で Google.co.jp にアクセスしてみます。
URL に http://www.google.co.jp/ を指定して実行しますが、この時点ではブラウザー上に何も表示されません。







ブラウザーからの全ての要求は、Burpsuite で堰き止めているため
通過させたい場合には、[ forward ] ボタンを押さなくてはなりません。


特定のリクエストを廃棄したい場合には、[ drop ] ボタンを押します。
ブラウザーからリクエストがある度に、選択することになりますのでサイトによっては何十回も forward することになります。





では、
試しに、Google のテキストボックスに [ burp suite ] として検索実行してみて下さい。

intercept タブの中で、さらに params というタブがありますが
その中に今自分が入力した文字列を見つけることができるでしょう。




今回の場合、GET request 中の type URL q=burp+suite
という部分がそれです。

パラメータを直接ダブル・クリックして内容を改変してみましょう。

burp+suite +root99.blogspot.com

と入力し、 [ forward ] ボタンを押します。
Webサーバには、書き換えられた burp+suite +root99.blogspot.com の情報で送信されます。



Google の応答結果を見ると、検索内容が書き換わっていることがわかります。








インストールできた?
そしたらはやく俺の作業手伝って!!!

つづく

.