今日は、Webアプリケーションのセキュリティ診断ができるツール「Burp Suite Professional」について書いてみたいと思います。
参考にした雑誌は、ソフトウェアデザイン 2024年2月号 P.86 – P.87です。
Burp Suite には、無償版と有償版があります。
機能的な違いについては、詳しくは、「Burp Suite Community Edition と Burp Suite Professional Edition の違い」をご覧ください。
なお、ソフトウェアデザイン 2024年2月号 P.86 – P.87 を読むと、Burp Suite Community Edition では、検出できない 「SQLインジェクション」があったという記載がありますので、商用サービスで使用するには、Professional Edition の方が、良いでしょう。
インストールは、難しくありません。
「Getting started with Burp Suite」の日本語解説である「Burp Suite入門」あたりを参考にインストールするのが良いでしょう。
Professional Edition の無料試用期間は、30日間です。「Request a fully-featured trial of Burp Suite Professional」から、メールアドレスの登録を行うとライセンス管理を行うためのダッシュボードへアクセスできます。
ライセンス認証を実施して、起動すると下記のようなダッシュボードが起動できます。
今回は、「New Scan」から、「Webサイトのスキャン」を参考に、スキャンしてみました。
WAF が、入っているとスキャンしても、脆弱性が診断できませんので、WAF は、いったん、外して、スキャンしましょう。
本内容に、ご興味をお持ちの方は、お問い合わせフォーム より、お問い合わせください。