Suite Options: Macro Editor 部分について
※ 英語力がない人間がGoogle翻訳を使用して訳しているので注意
Macro Editor は、マクロのすべての詳細を設定できます。
Record Macro
マクロは、ブラウザを使用して記録されています。
ブラウザのプロキシサーバーとしてBurp の現在のインスタンスを使用するよう構成されなければならなりません。
マクロを記録する際、マクロに使用するリクエストを選択するために、プロキシの一覧が表示されます。以前のリクエストを選択するか、新たにマクロを記録し、履歴から新しいアイテムを選択することができます。その場合、Proxy interception をオフにし、お使いのブラウザを使用して新しいマクロを記録することに注意してください。
マクロに含める項目を選択したら、「OK」をクリックし、項目がマクロエディタに表示されます。
Configuring Macro Items
Macro Editor には、マクロ内の項目のリストが表示されます。あなたは、順序の変更、項目の削除、またはマクロを再記録することによって、これらを変更することができます。あなたは、リクエストをリストで選択し、リクエストビューアの中でそれを直接編集することができます。
また、リクエストの基本的なシーケンスとして、各マクロは、シーケンス内の項目の処理方法について、いくつかの重要な構成、項目間の任意の相互依存性を含んでいます。マクロの設定を編集するには、リストで選択し、「Configure item」ボタンをクリックします。
Cookie Handling
設定項目は以下:
・レスポンスで受信したクッキーを、Session Handling Cookie jar に追加するかどうか。
・Session Handling Cookie jar のクッキーをリクエストに追加する必要があるかどうか。
Parameter Handling
リクエストの各パラメータについて、プリセット値を使用するか、レスポンスから値を取得するか設定することができます。
前のレスポンスからリクエストパラメータの値を取得する機能は、アプリケーションが CSRF トークンを積極的に使用している場合、特に有用です。パラメータ抽出は、パラメータ名とリクエストされるURL に基づいています。パラメータの値をレスポンスから抽出することを設定した際、Burp は関連する URL を送信し、指定されたパラメータをレスポンスから検証します。(例えば、フォーム。指定されたアクションURLを使用し、指定された名前のフィールドを含みます)値が見つかった場合は、Burp は、そのレスポンスからパラメータの値を抽出し、リクエストが処理されるごとにそれを更新します。
新しいマクロが定義されている場合、Burp は自動的に、前のレスポンスからパラメータの値を識別し、任意の関係を見つけようとします。(フォームフィールドの値を、リダイレクションターゲット、リンク内のクエリ文字列など)必要に応じて、手動で自動解析を無効にすることができます。
Custom Parameter Locations In Response
Burp のパラメータのマッチングは、レスポンスの「normal」パラメータの位置、フォームフィールドの値、リンクのクエリ文字列として、マクロ間で自動的に動作します。いくつかのケースで、レスポンス内の任意の場所を指定しパラメータを抽出する必要があります。例えば、CSRFトークンをJavaScriptの文字列内に定義しているアプリケーションは、スクリプトで生成された値をリクエストに追加します。このパラメータを導出することが可能なマクロを作成するには、スクリプトを含むレスポンス内のパラメータの位置、およびそれ以降のリクエスト内でそのパラメータに使用される名前を Burp に指示する必要があります。
カスタムパラメータの名前を指定するには、「Define custom parameter」ダイアログを使用して、レスポンス内で値を指定し、レスポンスから抽出された値が URL エンコードされているかどうかを設定します。これは response extraction rule のダイアログを使用します。これが行われる際、名前付きパラメータは、Parameter Handling で説明したように通常の方法で(Session Handling rule によって処理されているリクエスト)以降のマクロで使用できるようになります。
レスポンスから抽出された値は、URLエンコードされているかどうかを設定することが重要です。配置されているコンテキストはURLエンコードする必要があるかどうかを反映して、その後のリクエストで使用される場合に Burp が正しく値をエンコードすることができるようになります。
Re-Analyze Macro
新しいマクロが定義されている場合、Burp は前のレスポンスからパラメータの値を識別し、マクロ間の関係を自動的に見つけようとします。手動でマクロ内の項目を変更した場合は、「Re-analyze macro」ボタンを使用して自動解析を繰り返すことができます。
Test Macro
以前のレスポンスからのリクエストパラメータのいずれかの派生を含むマクロを設定している場合、意図したとおりに機能することを確認するために「Test Macro」機能を使用することができます。これは、シーケンス内のマクロを実行し、ご使用の構成に応じて任意のパラメータの値を抽出しようとします。Burp は、すべてのリクエストとレスポンス、受信したクッキーの値を、成功したか失敗したか判断するするためにすべてのパラメータの詳細を表示します。
0 件のコメント:
コメントを投稿