Linux に Burp Suite をインストールする方法

Web アプリケーションのセキュリティは、今日の相互接続された世界では非常に重要です。サイバー脅威や脆弱性の数が増加し続けるにつれて、その重要性はますます高まっています。Burp Suite は、これらのセキュリティ上の欠陥を見つけて修正するのに役立つ強力なツールです。このツールは、開発者、QA テスター、Web セキュリティの専門家の間で人気があります。このチュートリアルでは、Burp Suite を Linux にインストールする方法を示します。

げっぷスイートとは何ですか?

Burp Suite は、Web アプリケーションのセキュリティを侵入および評価するための統合プラットフォームです。これは、セキュリティ アナリストやホワイト ハッカーが Web アプリケーションの欠陥を見つけて悪用するのに役立つ包括的な機能スイートです。

クロスサイト スクリプティング (XSS)、SQL インジェクション、安全でない直接オブジェクト参照 (IDOR) などの一般的な脆弱性は、Burp Suite を通じて HTTP リクエストと応答を分析および操作することで発見できます。Mitmproxy として効果的に機能し、両方向のトラフィックを傍受、分析、変更できます。

Burp Suite は、プロキシ、スキャナ、イントルーダー、リピーター、シーケンサー、エクステンダーなどのツールが豊富にあることで知られています。

インストールの前に

システムを最新のセキュリティ パッチで確実に更新できるよう、ソフトウェアをインストールする前にシステムを更新することを常にお勧めします。これを行うには、以下のコマンドを実行します。

Ubuntu および Debian ベースの Linux ディストリビューションの場合:

sudo apt update && apt upgrade -y

次に、システムの Java バージョンを確認します。

java -version

Burp Suiteをダウンロードしてインストールする準備ができました。

Linux での Burp Suite のダウンロードとインストール

• PortSwigger Web サイトにアクセスし、ダウンロード セクションでダウンロード リンクを確認してください。

• Burp Suite Community Edition は無料バージョンで、バグやアプリケーションのセキュリティの発見を始めるのに十分です。Linux 64 ビットのドロップダウン リストから「Burp Suite Community Edition」を選択して、ダウンロードを開始します。
• ダウンロードが完了したら、ターミナルを起動します。cdダウンロード フォルダーにコピーし、 chmodコマンドを実行して実行可能にします。

cd ~/Downloads
chmod +x burpsuite_community_linux_v2023_4_4.sh

• 管理者権限でスクリプトを実行します。

sudo. / burpsuite_community_linux_v2023_1_2.sh

• スクリプトの実行直後に、Burp Suite インストーラーが画面上に表示されます。「次へ」をクリックしてインストールを進めます。

• アプリドロワーを開いてBurp Suiteを検索し、クリックして起動します。

Burp Suite を使用したブラウザのセットアップ

Burp Suite は他のWeb ブラウザと互換性がありますが、より適切に機能するには追加のブラウザ設定が必要です。

まず、FoxyProxy Standard拡張機能をインストールする必要があります。これは、ユーザーがプロキシ サーバーを使用するようにブラウザを設定できるツールです。Burp Suite はこのツールを使用して、ブラウザとサーバー間のトラフィックを傍受し、変更します。

拡張機能がインストールされている場合:

• プラグイン メニューの FoxyProxy アイコンをクリックし、ドロップダウン リストから [オプション] を選択して FoxyProxy オプションにアクセスします。
• 「新しいプロキシの追加」ボタンをクリックして、新しいプロキシ構成を作成します。
• 「プロキシの詳細」タブに新しいプロキシ構成の任意の名前を入力します。
• 「プロキシ IP アドレス」フィールドで、IP アドレスを 127.0.0.1 に、ポート番号をデフォルトの 8080 に指定します。

• 「保存」ボタンをクリックして、更新されたプロキシ構成を保存します。
• ツールバーの FoxyProxy アイコンをクリックしてアクティブにします。

ブラウザは、Burp Suite アプリケーション経由でトラフィックを送受信できるようになりました。

セキュリティ証明書のセットアップ

セキュリティ証明書を設定するには、次の手順に従ってください。

• ブラウザを起動し、http://127.0.0.1:8080 を開きます。
• 右上の「CA証明書」を選択し、ファイルを保存します。
• ブラウザの設定に進み、「プライバシーとセキュリティ」タブに移動します。
• 「証明書セクション」を見つけて「証明書の表示」をクリックし、「インポート」を選択します。
• ポップアップウィンドウで証明書を選択し、「OK」ボタンをクリックします。

これで、Burp Suite をテストする準備が整いました。

Burp Suite アプリケーションをテストするには、アプリケーションを開いて、プロキシ タブの下にある [インターセプト] ボタンをクリックしてオンにします。受信トラフィックを確認できるようになります。

ランニングげっぷスイート

• Burp Suite アプリケーションを開くと、一時プロジェクトか既存の開いているプロジェクトのどちらから開始するかを尋ねられます。

• プロジェクトタイプを選択したら、「次へ」を押し、「Burpのデフォルトを使用」オプションをチェックして、「Burpの開始」をクリックします。

• Burp Suite Community Edition がプロジェクトを開始します。アプリケーションのテストに必要なツールのリストがページの上部に 1 行で表示されます。

• まずプロキシ設定を修正してから、「インターセプトオン」ボタンを押す必要があります。ブラウザを開くと、Burp Suite プロキシ機能が動作します。現在のネットワークのトラフィック アクティビティとデータ パケットの詳細を確認できます。

これで、Burp Suite で新しいアプリケーションをテストする準備が整いました。Linux 用のその他のオープンソース セキュリティ ツールもチェックしてください。

Burp Suiteのアンインストール

Burp Suiteのインストールと設定は非常に大変な作業ですが、アンインストールはその逆です。

• アプリディレクトリに移動し、スクリプト「uninstall.sh」を見つけます。
• 実行可能にします。

chmod +x uninstall.sh

• スクリプトを実行します。

./uninstall.sh

• Burp Suite アンインストーラーが表示されます。画面上の指示に従って、Burp Suite アプリケーションを Linux システムからアンインストールします。

よくある質問

Burp Suite Community Edition は商用利用に適していますか?

はい。完全に無料で使用でき、ライセンス費用は必要ありません。Burp Suite の Professional Edition も利用でき、強化された機能とカスタマイズ オプションが提供されます。

Burp Suite Community Edition の制限は何ですか?

Burp Suite Community Edition は重要なセキュリティ テスト ツールを提供しますが、Professional Edition と比較するといくつかの欠点があります。これらの制限には、スキャナ ツールの機能の制限、レポートの選択肢の制限、カスタマイズのオプションの減少などが含まれます。

画像クレジット: Pexels。Surajit Saha による変更とスクリーンショット。