Burp Suite

ウェブセキュリティ解析ツールとして、Burp Suiteはペネトレーションテスターがウェブアプリケーションを監査するのを支援するよう設計された機能を提供している。

BurpSuiteのコミュニティ版には以下の機能が含まれている^[20]。

• Burp ProxyおよびInterceptor:他のウェブアプリケーション・セキュリティ検査ツールと同様に、BurpSuiteの主要な機能の一つは、クライアント側のHTTPリクエストに対するプロキシサーバーとして機能する能力である^[21]。ペネトレーションテスターは、ウェブサーバーのデフォルトHTTPリクエスト変数（属性、ボディパラメータ、クッキー、ヘッダー）をリアルタイムで傍受し、これらの値をその場で編集できる^[22]。アプリケーションの異常な動作を誘発し、バグや関連する脆弱性を特定することを目的として、不適合なデータを注入することができる。
• Burp Site Map:BurpSuiteはZAP (software)（英語版）ソフトウェアと同様に機能し、ターゲットURLのサイトマップを自動または手動のウェブ接続によってキャプチャできる^[23]。ユーザーがウェブアプリケーションでウェブに接続すると、HTTPリクエストはBurpSuiteソフトウェア内のウェブプロキシに送信される。HTTPリクエスト/レスポンスがキャプチャされると、これらのエンドポイントの通信の中身を調査できるようになる。プロフェッショナル版の機能を使用して自動的に監査することもできる。
• Burp LoggerおよびHTTP History:ウェブ接続中にキャプチャされたHTTPリクエスト/レスポンスのリストを保存する（プロフェッショナル版では自動スキャンもできる）^[24][25]。
• Burp Repeater:キャプチャされたHTTPリクエストを繰り返し送信することで、Webアプリケーションの挙動を見つけ出し脆弱性を特定する。定義されたパラメータに従ってHTTPリクエストを返すことができる^[26]。カスタマイズされたHTTPリクエストは素早く連続して送信でき、競合状態の脆弱性を悪用するためにも使用される^[27]。
• Burp Decoder:暗号化されたテキストを自動的に復号する^[28]。デコードされたテキストはその後編集され、再エンコードされることで、ウェブリクエストにおけるカスタマイズ性が強化される。現在、BurpはHTML、URL、BASE64、ASCIIヘックス、ヘックス、オクタル、バイナリ、およびGZIP形式でエンコードおよびデコードできる。BURPの「スマートデコード」は、エンコードされたデータを自動的に検出し、可能な限り再帰的に復号する^[29]。
• Burp Sequencer:繰り返し送信されるHTTPリクエスト全体でアプリケーションが生成するトークン変数を分析し、疑似乱数性の予測強度を判断する。
• Burp Comparer:2つの異なるHTTPリクエストまたはHTTPレスポンス間で発見されたコンテンツを、ユーザーが比較することを可能にする^[30]。
• Burp Extender:下記のBurp Extenderセクションを参照のこと。一部のBurpSuiteプラグインは、プロフェッショナル版に限定されている^[31]。

BurpSuiteのプロフェショナル版は、コミュニティ版の機能に加えて、以下の機能を備えている。

• Burp Scanner：捕捉されたHTTPリクエスト/レスポンスに対し、レポートの監査やウェブ接続を自動化する。傍受したHTTPレスポンスのコンテンツを内部ルールに基づいて監査し、脆弱なレスポンス値を検索する。ユーザーはスキャナーの速度と発見対象範囲をカスタマイズできる。
• Burp Dashboard：発見された結果を表示し、深刻度に基づいて問題を分類する^[32]。発見された問題の種類に応じて、詳細な説明と修正手順が提示される場合がある^[33]。
• Burp Intruder：Burp Repeaterをより広範囲に拡張したもので、ユーザーは指定されたリクエスト変数を変更しながら、複数の並行HTTPリクエストを送信できる^[34]。Webアプリケーションに対してパラメータを設定したうえで自動的に攻撃することもできる。この機能は、パスワードをクラックするなど、アプリケーションにとって有害な攻撃もできる^[35]。
• Burp Collaborator：外部サービスとの相互作用や帯域外からの攻撃を試みるため、C2サーバーからのホスティングをシミュレートする^[36]。
• Burp Organizer：選択されたHTTPリクエスト/レスポンスをコレクションに整理できる^[37]。
• Burp Infiltrator：対話型/ランタイムスキャンを自動化し、Burp Collaborator機能を通じて結果を通信するようにスクリプト化されたIASTエージェントである^[38]。
• Burp Clickbandit：ウェブアプリケーションのフロントエンドHTMLおよびJavaScriptファイルに対するクリックジャッキング攻撃をテストするための、概念実証ツールである^[39]。
• ファイルの保存の仕様：プロフェショナル版では、プロジェクトを".burp"ファイルとして保存できる。^[40]

BApps Burp Suiteでは、サポート外の機能のプラグインをユーザーがアップロードおよびダウンロードできる拡張ストア^[41]を提供している。提供されているプラグインには、UIを読みやすくするための調整プラグイン、スキャナーへルールを追加するプラグイン、新しい分析の機能の実装プラグインなどがある。

BurpSuiteの拡張APIはオープンソースである^[42][43]。Javaプラグインは公式でサポートされているが、PythonおよびRubyを使用する場合は、それぞれJythonやJRuby用のJarファイルをダウンロードする必要がある^[44]。

多くのBurpプラグインは、Portswigger社の従業員によって、同社が実施する研究のための概念実証を開発する手段として作成された^[45]。これらには、Portswigger社の研究ディレクターであるJames Kettleが作成した拡張機能「Backslash Powered Scanner」^[46][47]、「Param Miner」^[48][49]、「HTTP Request Smuggler」^[50][51]などが含まれる。

BChecksは、ユーザーが独自のスキャナールールを作成およびカスタマイズできるようにするため、2023年6月にBurpSuiteに追加された^[52][53]。厳選されたBChecksのコレクションは、Portswigger によってオープンソースのGitHubプロジェクトを通じて管理されている^[54]。

ユーザーは、BurpSuiteのプロキシHTTP履歴、ウェブソケット履歴、およびロガーリストでカスタムHTTPリクエスト/レスポンスのインデックスフィルターを作成するためにJavaスクリプトでコードを記述できる^[55][56]。