Burp spider

| | コメント(0) | トラックバック(0)

・Burp spider (PortSwigger.net - web application hack tool)
http://portswigger.net/spider/

Webサイトの評価ツール。

始点URLを指定すると、リンク、フォームを自動巡回してTreeで構造を表示します。
HTTP ステータスのエラー(2xx以外?)が表示されます。

JAVAで書かれています。
JavaScriptを解釈します。(どの程度かは未確認)
フォームがあると、入力ウィンドウが表示されるます(デフォルト)。
設定によっては自動サブミットできるようです。
COOKIEに対応しています。
WWW認証に対応しています。
PROXYに対応しています。

プレビューが見えたり、レスポンスがファイルに保存される訳ではありません。

404 (Not Found) や500 (Internal Server Error のページ探しとかにつかえるかな。
"SQL injection」や「directory traversal」の様な特定の脆弱性をチェックできる(しやすい?)"ようですが、手動でフォームに怪しい値を入力していくと言うことかな?
「こう使うものだ!」と言うのがあったら、教えてください。

インストール

zipファイルを解凍して、中に入っている「spider.bat」を実行します。
Java Runtime Environmentの1.4以降が必要です。

使ってみる

  1. 「run」タブを開きます
  2. 「seed URLs」に始点となるURLを入力して「add」ボタンを押します(複数指定可能)
  3. 「options」タブを開きます
  4. 「maximum link depth from URLs」は辿るリンクの深さなので必要十分な値にしておきます。
  5. 「include URLs starting」で指定した文字列で始まるURLのリンクを辿るように指定します。
    例えば、「http://www.example.jp/」の様に指定します。
  6. 「exclude URLs starting」は指定した文字列で始まるURLのリンクを辿らないように指定します。
    例えば、「http://www.example.jp/exclude/」の様に指定します。
  7. 「include any URL not specifically excluded」にチェックをつけると、「exclude URLs starting」で指定した文字列を含まない限りリンクを辿ってしまうので、普通は付けない方が良いでしょう。
  8. スクロールすると設定画面が下に続いていています。
    リクエストヘッダの値、フォームの取り扱いや、細かい設定が出来ます。
  9. 「comms」タブを開きます
  10. 「do www authentication」にチェックを入れておくと、WWW認証の設定をする事が出来ます。
    burp spiderのwww認証設定画面
  11. 「prompt for credentials on authentication failure」にチェックを付けておくと、認証に失敗した時username/passwordなどを入力するダイアログが表示されます。
  12. 「run」タブに戻ります。
  13. 「spider running」にチェックをつけると、「seed URLs」で指定した始点URLからリンクを辿り初めます。
  14. デフォルトでは、辿っているURLにフォームがあると、値を入力するためのウィンドウが表示されます。
    適当な値を入力して「submit form」します。
    burp spiderのフォーム入力ウィンドウ
  15. 「show results」ボタンを押して「spider results(結果)」ウィンドウを表示します。
    burp spiderの結果(Tree)
    検査を行ったページは黒で表示されます。
    検査を行っていないページは灰色で表示されます。
    エラーがあるとHTTP ステータスが赤で表示されます。
  16. 「test.html」→「test2.html」→「test3.html」→「test4.html」→「test5.html」と遷移するリンクが張られていましたが、「maximum link depth from URLs」を「3」に設定してあったので、「test5.html」は検査されていません。
  17. 更にリンクを辿りたい場合は、「test4.htmlを右クリック」>「new seed URL」とします。
  18. 「test4.htmlを右クリック」>「re-request item」すると再読み込みします。
  19. 「Table」タブで結果をテーブルで表示するとこんな感じ。 burp spiderの結果(Table)

一回検査したページを結果一覧から削除できないのはちょっと使いにくいかも?

トラックバック(0)

このブログ記事を参照しているブログ一覧: Burp spider

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/303

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年6月16日 12:42に書いたブログ記事です。

ひとつ前のブログ記事は「開封確認通知のメールを検索してみる」です。

次のブログ記事は「CuteMenus」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261