shikata ga nai

Private? There is no such things.

Burp Suiteのscopeについてかいてみた

Hello there,

 

BadStoreを起動しておいて。

 

f:id:ThisIsOne:20191206160152p:plain

 

Burp Suiteを起動して。

Proxy ⇨ HTTP historyで、Hostの列を確認し。

右クリックで、『Add to scope』を選択して。

 

f:id:ThisIsOne:20191206160252p:plain

通信履歴の表示をターゲットのみにするかの確認が出るので。

『Yes』ボタンを押して。 

 

f:id:ThisIsOne:20191206160506p:plain

 

すると。

Target ⇨ ScopeのTarget Scopeに反映されているのが確認できて。

 

f:id:ThisIsOne:20191206160639p:plain

 

で、ポイントはここ。

『スコープ以外は、アイテムをプロキシの履歴またはライブタスクに送信しない』という箇所にチェックが入って。

 

f:id:ThisIsOne:20191206160739p:plain

 

BadStoreで一連のメニューをクリックすると。

 

f:id:ThisIsOne:20191206161135p:plain

 

Burp Suiteに反映されるものの。

 

f:id:ThisIsOne:20191206161034p:plain

 

BadStore以外のサイトだと。

何も表示されず。

 

f:id:ThisIsOne:20191206161426p:plain

 

そして、『Re-enable』ボタンを押して。

スコープを解除すると。

 

f:id:ThisIsOne:20191206161616p:plain

 

Proxy ⇨ Optionsのチェックマークも連動して解除され。

 

f:id:ThisIsOne:20191206161745p:plain

 

BadStore以外のサイトも履歴に表示され。

それにしてもCNNのサイトは、1クリックしただけなのに表示される量が多すぎて。

 

f:id:ThisIsOne:20191206161949p:plain

 

脆弱性診断する際は、他のサイトまで攻撃しないようにスコープを定めないと。

 

Best regards,

 

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain