日記/2011/12/04/BurpSuiteメモ

お仕事で使ってるProxyツール、BurpSuiteのメモ。

・proxyのhistoryで選択→save itemすると文字化けする。
→optionsのloggingでのログは文字化けしない。ただしリアルタイムに書き込みしているわけではなく、数秒間ほど溜めてから書きだしたりしていて、バッファリングされている模様。
→というか、upstream proxyをOWASPのZAPにして、対象サイト以外をフィルタしてしまえば、ZAPなら文字化けせずにデータをごっそり保存・ロードできるので、そちらでロギングしておくという手法も有りか。メモリ食いそうだけど。

・ログイン画面からログインして～とか、CSRF対策用トークンを取得したり、前準備が必要になったりするケース
→最初にoptions→session→macroで、その直前までのリクエストの流れを組み立てておき、session handlingで"Run macro"で追加する。セッションのタイムアウトまで含めてチェックしたい場合は、セッションが維持できているか判定できるリクエストをmacroで組んでおき、"Check session is valid"として追加しておく。なお"Check session is valid"で"if session is valid, don't process any further rules or actions for this request"にチェックを入れておくと、セッションが有効なときに、他のRun macroとかで登録したアクションが実行されない。トークン取得の前段階としてセッション判定を入れたい場合は、このチェックを外しておかないと、セッションが有効な場合にトークン取得が動かないので失敗する。チェックを外せば、セッション有効ならそのままトークン取得が動くのでOK。
→この辺は実際にrepeaterとか使って動かしてみた後、"view session tracer"でルールの動作を確認したほうが良い。別のproxyをupstream proxyに設定して、そちらで全体のリクエストを確認するというのも有り。

・upstream proxyが思いの外便利。
→ブラウザ側でぐちゃぐちゃ切り替えずにBurpから素通しで他のProxyへリレー、みたいなことが簡単に出来るので。