Hello there, ('ω')ノ
プロキシツールとは?
一言でいうと:
- パソコンとインターネットの間に入って
- 通信内容を丸ごと記録・観察・改ざんできるツール
ブラウザ開発者ツールでは見えない「アプリ内部」や「API裏側」のやり取りも細かく確認できるのが最大の特徴です。
代表的なプロキシツール
- Burp Suite(バープ・スイート)※無料版あり
- OWASP ZAP(ザップ)※無料
- Fiddler(フィドラー)
この記事では、最も有名なBurp Suiteを例に説明します。
実際の使い方ステップ
① Burp Suite をパソコンにインストール → https://portswigger.net/burp
② Burp Suite を起動 → Proxyタブ → Intercept → ON
③ ブラウザ側のプロキシ設定を変更:
- HTTPプロキシ 127.0.0.1:8080 に切り替え
④ ブラウザで社内システムを操作 → Burp上に通信内容が流れてくる
観察できるポイント
- Cookieやヘッダー情報
- APIリクエストとレスポンス内容
- 本来画面には出ない隠しパラメーター
- ファイルアップロードやダウンロードの中身
脆弱性を見つけるための活用例
✅ セッションIDや認証情報が漏れていないか?
✅ 本来アクセスできないデータをリクエストで取得できないか?
✅ URLやパラメーターを書き換えて再送信できないか?(IDORやCSRFチェック)
試しやすい操作例
- POSTリクエストのボディを書き換えてみる
- Cookieの値を意図的に変えて再送信する
- ファイルアップロードの拡張子を変更して試す
もちろんこれらは本番環境ではなく、テスト用システムや許可された範囲内で実施してください。
注意ポイント
- 社内ルールや管理部門の許可なく勝手に使わないこと
- https通信の場合、Burpの証明書をインストールしないと観察できない
- 大規模システムでは影響を与えない範囲で慎重に扱うこと
チェックリストまとめ
- [ ] プロキシ設定を正しく切り替えたか?
- [ ] Intercept機能をONにしたか?
- [ ] 観察対象URLとAPIを絞っているか?
- [ ] 通信内容を改ざんして安全な範囲で再送信してみたか?
Best regards, (^^ゞ
