Burp Suite ばーぷすいーと
簡単に言うとこんな感じ!
WebサイトやWebアプリの「セキュリティの穴」を見つけるためのツールだよ!ブラウザとサーバーの間に割り込んで通信を覗いたり書き換えたりできる「プロの盗聴器」みたいなイメージ。セキュリティ検査の現場では超定番なんだ!
Burp Suiteとは
Burp Suite(バープスイート)は、PortSwigger社が開発したWebアプリケーションのセキュリティテスト専用ツールです。ブラウザとWebサーバーの間に「プロキシ(中継役)」として割り込み、やり取りされるHTTP/HTTPSの通信を丸ごとキャプチャ・改ざん・分析できる機能を持ちます。セキュリティの専門家が「このWebサイトは本当に安全か?」を調べるために使う、業界標準のツールです。
主にペネトレーションテスト(侵入テスト)と呼ばれる、擬似的な攻撃を仕掛けてシステムの弱点を探す作業で活用されます。ログイン画面への不正アクセス試行、入力フォームへの悪意あるコード注入(SQLインジェクションやXSS)など、様々な攻撃手法を安全な環境で試すことができます。
無料の「Community Edition」から有料の「Professional Edition」「Enterprise Edition」まで複数のエディションがあり、ITセキュリティ担当者はもちろん、Webシステムを発注・運用する立場の方も「テストに使われているツール」として知っておく価値があります。
Burp Suiteの主要機能
| 機能名 | 役割 | 使われ場面 |
|---|---|---|
| Proxy(プロキシ) | ブラウザ↔サーバー間の通信を傍受・改ざん | 通信内容の確認・手動テスト |
| Scanner(スキャナー) | 脆弱性を自動的に検出 | 大量ページの一括チェック(Pro版) |
| Repeater(リピーター) | HTTPリクエストを手動で繰り返し送信 | パラメータ改ざんの検証 |
| Intruder(イントルーダー) | 大量パターンを自動送信(ブルートフォース等) | パスワード推測・ファジング |
| Decoder(デコーダー) | Base64・URLエンコードなどの変換 | データの解読・エンコード |
| Comparer(コンペアラー) | 2つのレスポンスの差分比較 | 認証バイパスの検出 |
| Logger(ロガー) | 全通信の記録・検索 | 証跡確認・レポート作成 |
エディション別の主な違い
| エディション | 費用 | 主な違い |
|---|---|---|
| Community | 無料 | Intruderの速度制限あり、Scannerなし |
| Professional | 約$449/年 | 自動スキャナー、全機能利用可 |
| Enterprise | 要見積もり | CI/CD連携、スケジュールスキャン |
覚え方のヒント
「Burp(バープ)= げっぷ」という意味の英単語。「Webアプリの不具合をげっぷのように吐き出させる」ツール、というユニークな名前の由来があります。一度聞いたら忘れない名前ですね。
歴史と背景
- 2003年頃 — PortSwigger社の創業者Dafydd Stuttardが個人プロジェクトとしてBurp Suiteを開発開始
- 2006年 — Professional版をリリース。有料化によりプロ向け機能が充実
- 2012年頃 — OWASPのセキュリティテストガイドにBurp Suiteが推奨ツールとして掲載され、業界標準に
- 2015年 — Burp Suite 1.6リリース。UI改善・拡張機能(BApp Store)の整備
- 2019年 — Enterprise Editionをリリース。組織全体での継続的スキャンが可能に
- 2020年代 — バグバウンティ(脆弱性報奨金制度)の普及とともに、個人セキュリティ研究者にも広く使われるように
Burp Suiteの動作構造
Burp Suiteがどのように機能するか、ブラウザ・Burp・Webサーバーの関係を図解します。
実務でどう使われるか
Webシステムを発注した際、納品前のセキュリティ検査でBurp Suiteが使われることがあります。外部のセキュリティ診断会社が診断レポートに「Burp Suite Professionalを使用」と記載していれば、業界標準の手法でテストされた証拠です。
【セキュリティ診断の流れ(例)】
1. ブラウザのプロキシ設定をBurp Suiteに向ける
2. テスト対象サイトをブラウザで操作
└→ Burpが通信をすべてキャプチャ
3. Repeaterで特定のリクエストを手動で改ざん
└→ SQLインジェクション・XSSを試みる
4. Scannerで自動スキャン(Pro版)
└→ 未チェックのページの脆弱性を自動検出
5. 結果をレポートにまとめて提出他のツールとの比較
| ツール名 | 特徴 | 向いている用途 |
|---|---|---|
| Burp Suite | 手動+自動、GUI操作が直感的 | Webアプリの詳細なペネトレーションテスト |
| OWASP ZAP | 無料・OSS、Burpより機能は少なめ | 予算を抑えた脆弱性スキャン |
| Nikto | CLIベース、シンプル | Webサーバー設定ミスの検出 |
| Nessus | ネットワーク全体をスキャン | インフラ全体の脆弱性管理 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 9110 | HTTP Semantics(BurpがキャプチャするHTTPの仕様) |
| RFC 8446 | TLS 1.3(Burpが復号するHTTPS通信の暗号化規格) |
| RFC 7235 | HTTP Authentication(認証テストに関連) |
関連用語
- ペネトレーションテスト — 擬似攻撃でシステムの弱点を探すセキュリティ検査手法
- SQLインジェクション — データベースへの不正操作を引き起こす代表的な攻撃手法
- XSS(クロスサイトスクリプティング) — Webページに悪意あるスクリプトを埋め込む攻撃
- プロキシ — クライアントとサーバーの間に入って通信を中継するサーバー
- OWASP — Webアプリセキュリティの標準ガイドラインを策定する非営利団体
- 脆弱性スキャン — システムのセキュリティ上の弱点を自動的に検出する手法
- HTTPS — HTTP通信をTLSで暗号化したセキュアな通信プロトコル
- バグバウンティ — セキュリティ研究者が脆弱性を報告する代わりに報奨金を得る制度