記事更新日: 2021/10/21
「Burp Suite」は、WebサイトをクローリングしURLリストの取得や分析、Webサイトやモバイルアプリへリクエストする情報を改ざんし、セキュリティにおける問題点が無いか確認可能な脆弱性診断ツールです。セキュリティ犯罪が増えつつある現代に必要不可欠で便利なサービスです。
セキュリティ・脆弱性診断を比較したい方はこちら
利用規約とご案内の連絡に同意の上
セキュリティ診断ツールツールを徹底的に調べた起業LOG編集部がおすすめする5サービスの資料をダウンロードできます。
脆弱性をテストする際、自動化して繰り返しリクエストを実行可能。
特定のチェックのスキップや、挿入ポイントを微調整し監査する対象と方法をカスタマイズ可能。
ランダム性を持ち予測不可能であることが意図されているデータ項目(トークンなど)のテスト可能。
「Burp Suite」は数多くの有名企業でも取り入れられ、業界標準のツールと見なされているため、結果やレポートはビジネスシーンにおいても大変受け入れられやすいです。また非常に軽量なので、あらゆるデバイスで利用できます。
基本的にはインターフェイスもドキュメントも公式の物は全て英語のみです。また、契約は年間契約のみです。
他社サービスと比べ、Professional版は、価格が少し高めですが、セキュリティの専門家も満足できるクオリティーです。
直感的でわかりやすいUIを介してセキュリティ制御できます。
無料のトライアル期間があり、導入しやすいと言えます。
このページの目次
「Burp Suite」は、Webページやモバイルアプリのセキュリティを維持する上で必要なスキャンをワンクリックで簡単に実施できます。
必要なものはURLのみで、スキャンの実施は毎日・毎週・毎月とスケジュール設定して実施可能です。
Webアプリをテストする手法であるDAST・OAST・IAST・SCA・SASTを組み合わせることで、重大なバグをすばやく検知し誤検知を最小限に抑えられるので、テスターのセキュリティ診断実施時間の効率化が図れるのも魅力の一つです。
また、「Burp Suite」には、レポート機能がしっかり備わっていて、一部のセキュリティから組織全体の体制まで確認可能です。
ダッシュボードでは、重要度やタイプ別に脆弱性をグラフィカルに表示し詳細を確認できるので、項目ごとに問題を整理し、修正したい脆弱性に焦点を当てることが可能です。
さらに、レポートはチームのメンバーにメールで共有でき、何か問題が見つかった場合も、迅速な修正対応をサポートします。
グラフィカルなレポート機能
「Burp Proxy」を利用すると、テスターは、httpsが使用されている場合でも、手動でブラウザとターゲットとしたWebやモバイルアプリケーション間のすべての通信内容の閲覧や通信内容の書き換えが可能な為、セキュリティ診断をする際に大変便利です。
例えば、セキュリティ診断をする際は、パラメーターに任意の値を挿入して、そのレスポンスの挙動から脆弱性の有無を判定するのが一般的ですが、通常HTMLのソースなどを見て判断をする為ブラウザ上からでは効率よくチェックするのは難しいものです。そんな時も、プロキシツール「Burp Suite」を利用すれば効率よくチェックが行え便利です。
また、後で手動でフォローアップしやすいように個々の項目ごとに分かりやすい色を付けてコメントを残せる機能や、セキュリティ診断を簡単に実施する為の機能として、非表示のフォームフィールドを再表示・無効なフォームフィールドの有効化、JavaScriptフォームの検証を削除などの変更が可能です。
さらに、ターゲットサイトマップでは、診断を行っているサイトで発見されたすべてのコンテンツをサイトのURL構造に対応するツリービューにて表示し、ツリー内のブランチまたはノードを選択すると、個々の項目のリストが表示できます。
リクエストとレスポンスを含む詳細が確認可能で分析しやすく便利です。
セキュリティ診断
Webに関する脆弱性やリスク、攻撃コードやマルウェアなどを研究している組織「OWASP」が、ウェブセキュリティ上で数多く事例が見受けられる脅威の中で、危険度が最も高いと判断した10項目を「OWASP Top 10」として世界に発表しています。
Webページやアプリケーションを持つ全ての企業、サービス運営会社は重大な脆弱性やリスクにより、悪意のある第三者に攻撃され被害を被ってしまうことが無いよう「OWASPトップ10」をの項目に該当するような危険性が無いかチェックする必要があります。
「Burp Suite Pro」は、そんな「OWASP トップ10」に対するセキュリティ診断にも利用できます。
通常2〜3年周期で新しい情報がアップデートされるので、PortSwigger社も随時技術研究を重ね、発表に合わせ「Burp Suite」の機能も必要な場合はアップデートされます。
PortSwigger社のこういったセキュリティ対策に取り組む真摯な姿勢は、世界中から評価され信頼を得ているため12,000以上の組織や企業が、「Burp Suite」のテクノロジーをWebページやアプリケーションに搭載しています。
「Burp Suite」を利用すると、従来のバグから、まだ存在することさえ知られていない脆弱性まで、あらゆるものを見つけることができます。
導入によって、安心してWebページやアプリケーションを運営できます。
ライセンスの種類は2種類あり、両ライセンスともに無料トライアルがあります。
※詳細はお問合せをする必要があります。
「Burp Suite Professional」は正確で高度な結果を得ることができる非常に優れたテストツールです。このツールはセキュリティ専門家向けに特別に作成されているため、操作するための背景知識が必要ですが、包括的なセキュリティテストを安全に実施できるツールです。
*「Burp Suite」公式HP参照
Webページやアプリケーションを持つ全ての企業やサービス運営会社に特にお勧めです。
近年セキュリティ犯罪の増加に伴い、悪意ある第三者からの攻撃で損害を被る前に、セキュリティを考慮してWebを設計・運営するのが一般的です。しかしながら、思いがけない所にセキュリティの抜け穴がありリスクに晒されている場合も少なくありません。被害が出る前に適切なセキュリティ診断の実施がお勧めです。
とはいえ、脆弱性診断は面倒で難しいという企業のセキュリティ担当の方も「Burp Suite」を利用すれば誰でも簡単に脆弱性を検出でき、見つかった脆弱性を修正するのに役立つガイドラインもあり安心です。セキュリティのリスクに晒され被害が出てしまう前に検討・導入をお勧めします。
画像出典元:「Burp Suite」公式HP
100社の導入事例まとめがついてくる!
起業LOG独自取材!
「Burp Suite」はウェブサイトやモバイルアプリケーションの脆弱性評価に最適なツールです。アクティブスキャンによって生成された脆弱性の結果は、非常に役立ちます。またPortSwiggerコミュニティガイドラインは、見つかった脆弱性を修正するのに便利です。