Hello there, ('ω')ノ
SSPPのようなサーバー内部で発生するパラメータ操作の脆弱性は、手動テストが中心ですが、Burp Suiteの自動化ツールを併用することで、効率的に疑わしいポイントを洗い出すことが可能です。
🔧 Burp Scannerでの自動検出
✅ 特徴:
- Burp Scannerは、ユーザー入力がどのように処理・変換されているかを監視します。
- 特に「入力がサーバー側で変換された上で使われている場合(Suspicious Input Transformation)」を警告します。
📌 この「入力変換の検出」は、SSPPの兆候を見逃さない手がかりになります。
✅ 検出される主な兆候:
| 挙動 | 解釈 |
|---|---|
| URLエンコードされた値がそのまま使われている | %26 → & として解釈されるなら、内部パラメータ追加の可能性 |
| JSONやXMLでの構造変更が起きている | "} や , を含む値で構造変化 → インジェクションの疑い |
パス操作系の入力(../など)でレスポンス変化 |
RESTパスのSSPPの可能性がある |
🔍 検出されても“脆弱性と断定されない”点に注意 → あくまで「手動でさらに調べるべき挙動」
🧠 「Suspicious input transformation」検出時のアクション
- Burp ScannerのIssueタブに表示された変換挙動を確認
- リクエストとレスポンスを比較し、変化した箇所を特定
- 該当パラメータで以下を手動テスト:
%26,%23,",",../などを用いた構造変更- パラメータ名の重複(
param=value¶m=evil)など
🚀 Backslash Powered Scanner(BApp)を併用する
✅ 特徴:
- 特殊文字を含む多数のパターンでテストを実行
- 入力を Boring / Interesting / Vulnerable の3カテゴリで分類
🧪 “Interesting” に分類された入力には、SSPPの候補が含まれていることが多い!
🧠 Backslash Powered Scannerの活用法
- BApp Storeから Backslash Powered Scanner をインストール
- 対象リクエストを「Actively scan」
- Scannerが“Interesting”と判定した箇所を手動で深掘り
- 例:レスポンスに構造化データの構文が崩れた形跡
- 例:値の一部が他のパラメータと結合されているように見える
✅ まとめ:Burpの自動化ツールでSSPPを効率的に発見する方法
| ツール | 役割 | 活用ポイント |
|---|---|---|
| Burp Scanner | 入力変換の兆候を検出 | Suspicious input transformation が出たら深掘り |
| Backslash Powered Scanner | 不明な脆弱性クラスの発見 | Interesting な挙動を手動で詳細調査 |
| Intruder(手動) | パラメータ注入の自動化 | %26, %23, "} などを使った構文崩しも可 |
💡 結論
自動スキャナーはSSPPを完全に見つけるものではないですが、“手動テストすべきポイント”を絞り込む強力な補助ツールになります。
自動検出 → 手動テスト → 検証結果の深掘り という流れが、SSPP発見のゴールデンルートです。
Best regards, (^^ゞ
