Linux に Burp Suite をインストールする方法

2023/05/25

Web アプリケーションのセキュリティは、今日の相互接続された世界では非常に重要です。サイバー脅威や脆弱性の数が増加し続けるにつれて、その重要性はますます高まっています。Burp Suite は、これらのセキュリティ上の欠陥を見つけて修正するのに役立つ強力なツールです。このツールは、開発者、QA テスター、Web セキュリティの専門家の間で人気があります。このチュートリアルでは、Burp Suite を Linux にインストールする方法を示します。

げっぷスイートとは何ですか?

Burp Suite は、Web アプリケーションのセキュリティを侵入および評価するための統合プラットフォームです。これは、セキュリティアナリストやホワイトハッカーが Web アプリケーションの欠陥を見つけて悪用するのに役立つ包括的な機能スイートです。

クロスサイトスクリプティング (XSS)、SQL インジェクション、安全でない直接オブジェクト参照 (IDOR) などの一般的な脆弱性は、Burp Suite を通じて HTTP リクエストと応答を分析および操作することで発見できます。Mitmproxy として効果的に機能し、両方向のトラフィックを傍受、分析、変更できます。

Burp Suite は、プロキシ、スキャナ、イントルーダー、リピーター、シーケンサー、エクステンダーなどのツールが豊富にあることで知られています。

インストールの前に

システムを最新のセキュリティパッチで確実に更新できるよう、ソフトウェアをインストールする前にシステムを更新することを常にお勧めします。これを行うには、以下のコマンドを実行します。

Ubuntu および Debian ベースの Linux ディストリビューションの場合:

sudo apt update && apt upgrade -y

次に、システムの Java バージョンを確認します。

java -version

Burp Suiteをダウンロードしてインストールする準備ができました。

Linux での Burp Suite のダウンロードとインストール

PortSwigger Web サイトにアクセスし、ダウンロードセクションでダウンロードリンクを確認してください。

Burp Suite Community Edition は無料バージョンで、バグやアプリケーションのセキュリティの発見を始めるのに十分です。Linux 64 ビットのドロップダウンリストから「Burp Suite Community Edition」を選択して、ダウンロードを開始します。
ダウンロードが完了したら、ターミナルを起動します。cdダウンロードフォルダーにコピーし、 chmodコマンドを実行して実行可能にします。

cd ~/Downloads chmod +x burpsuite_community_linux_v2023_4_4.sh

管理者権限でスクリプトを実行します。

sudo. / burpsuite_community_linux_v2023_1_2.sh

スクリプトの実行直後に、Burp Suite インストーラーが画面上に表示されます。「次へ」をクリックしてインストールを進めます。

アプリドロワーを開いてBurp Suiteを検索し、クリックして起動します。

Burp Suite を使用したブラウザのセットアップ

Burp Suite は他のWeb ブラウザと互換性がありますが、より適切に機能するには追加のブラウザ設定が必要です。

まず、FoxyProxy Standard拡張機能をインストールする必要があります。これは、ユーザーがプロキシサーバーを使用するようにブラウザを設定できるツールです。Burp Suite はこのツールを使用して、ブラウザとサーバー間のトラフィックを傍受し、変更します。

拡張機能がインストールされている場合:

プラグインメニューの FoxyProxy アイコンをクリックし、ドロップダウンリストから [オプション] を選択して FoxyProxy オプションにアクセスします。
「新しいプロキシの追加」ボタンをクリックして、新しいプロキシ構成を作成します。
「プロキシの詳細」タブに新しいプロキシ構成の任意の名前を入力します。
「プロキシ IP アドレス」フィールドで、IP アドレスを 127.0.0.1 に、ポート番号をデフォルトの 8080 に指定します。

「保存」ボタンをクリックして、更新されたプロキシ構成を保存します。
ツールバーの FoxyProxy アイコンをクリックしてアクティブにします。

ブラウザは、Burp Suite アプリケーション経由でトラフィックを送受信できるようになりました。

セキュリティ証明書のセットアップ

セキュリティ証明書を設定するには、次の手順に従ってください。

ブラウザを起動し、http://127.0.0.1:8080 を開きます。
右上の「CA証明書」を選択し、ファイルを保存します。
ブラウザの設定に進み、「プライバシーとセキュリティ」タブに移動します。
「証明書セクション」を見つけて「証明書の表示」をクリックし、「インポート」を選択します。
ポップアップウィンドウで証明書を選択し、「OK」ボタンをクリックします。

これで、Burp Suite をテストする準備が整いました。

Burp Suite アプリケーションをテストするには、アプリケーションを開いて、プロキシタブの下にある [インターセプト] ボタンをクリックしてオンにします。受信トラフィックを確認できるようになります。

ランニングげっぷスイート

Burp Suite アプリケーションを開くと、一時プロジェクトか既存の開いているプロジェクトのどちらから開始するかを尋ねられます。

プロジェクトタイプを選択したら、「次へ」を押し、「Burpのデフォルトを使用」オプションをチェックして、「Burpの開始」をクリックします。

Burp Suite Community Edition がプロジェクトを開始します。アプリケーションのテストに必要なツールのリストがページの上部に 1 行で表示されます。

まずプロキシ設定を修正してから、「インターセプトオン」ボタンを押す必要があります。ブラウザを開くと、Burp Suite プロキシ機能が動作します。現在のネットワークのトラフィックアクティビティとデータパケットの詳細を確認できます。

これで、Burp Suite で新しいアプリケーションをテストする準備が整いました。Linux 用のその他のオープンソースセキュリティツールもチェックしてください。

Burp Suiteのアンインストール

Burp Suiteのインストールと設定は非常に大変な作業ですが、アンインストールはその逆です。

アプリディレクトリに移動し、スクリプト「uninstall.sh」を見つけます。
実行可能にします。

chmod +x uninstall.sh

スクリプトを実行します。

./uninstall.sh

Burp Suite アンインストーラーが表示されます。画面上の指示に従って、Burp Suite アプリケーションを Linux システムからアンインストールします。

よくある質問

Burp Suite Community Edition は商用利用に適していますか?

はい。完全に無料で使用でき、ライセンス費用は必要ありません。Burp Suite の Professional Edition も利用でき、強化された機能とカスタマイズオプションが提供されます。

Burp Suite Community Edition の制限は何ですか?

Burp Suite Community Edition は重要なセキュリティテストツールを提供しますが、Professional Edition と比較するといくつかの欠点があります。これらの制限には、スキャナツールの機能の制限、レポートの選択肢の制限、カスタマイズのオプションの減少などが含まれます。

画像クレジット: Pexels。Surajit Saha による変更とスクリーンショット。