申し込み段階で、こちらのリンクからBurpSuiteのインストールを行なっていただいたかと思います。 本事前課題では、インストールをしたBurpSuiteを利用し実際に通信の取得し、リクエストを変更することを目的にします。
-
-
Save a-zara-n/e314c1c2509868d0d5ee677a1ffbc686 to your computer and use it in GitHub Desktop.
とある海豹とSecurity-JAWSの事前準備と、ツールに慣れていただくための事前課題
本項では、BurpSuiteを用いたHTTP通信の取得について学びます。
こちらのリンクを参考に、BurpSuiteから開いたブラウザから、事前課題の環境である https://pxjliqh4u4zmkoppwcqm4ifigi0gszpe.lambda-url.ap-northeast-1.on.aws/ へアクセスをしてください。
その後、Proxy > HTTP HistoryからHTTP通信の履歴を確認し、Welcome to My Lambda Appを含むHTTPレスポンスを確認してください。
HTTPレスポンスの例
HTTP/1.1 200 OK
Date: Fri, 30 Aug 2024 10:35:29 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 437
Connection: keep-alive
x-amzn-RequestId: d563d7e1-0360-4afb-a0f3-73adfb2002e2
last-modified: Fri, 30 Aug 2024 10:29:24 GMT
x-amzn-Remapped-content-length: 437
x-amzn-Remapped-connection: keep-alive
cache-control: public, max-age=0
etag: W/"1b5-191a2d527a0"
X-Amzn-Trace-Id: root=1-66d1a071-3d49b923367bb90e62085ab1;parent=6a368a7388dc8abf;sampled=0;lineage=9999b665:0
accept-ranges: bytes
x-amzn-Remapped-date: Fri, 30 Aug 2024 10:35:29 GMT
<!DOCTYPE html>
<html lang="jp ">
<head>
<meta charset="utf-8" />
<title>My Lambda App</title>
</head>
<body>
<h1>Welcome to My Lambda App</h1>
<p>This is a simple Lambda app.</p>
<form
action="/"
method="post"
>
<input
type="text"
name="message"
placeholder="Enter your message"
/>
<button type="submit">Submit</button>
</form>
</body>
</html>
ここまでが通信の確認に関する事前課題になります。
本項では、BurpSuiteを用いたHTTP通信の内容変更について学びます。
まず初めに、Proxy > Intercept にアクセスし、Interceptをonにしてください。
このInterceptを有効化することによってBurpSuiteを経由する通信を止めることや変更を行うことが可能です。
Interceptをonにし、BurpSuiteから開いたブラウザからメッセージを送信してください。
入力フォーム(画像)
入力後のHTTPリクエスト例(画像)
入力フォーム(画像)から test のような入力を送信した場合、入力後のHTTPリクエスト例(画像)のようなHTTPリクエストを、一時的にBurpSuite側で止めている状態になります。
このHTTPリクエストを止めている状態の場合、HTTPリクエストの内容を変更することが可能で、本来入力していたtest以外の値を送信することが可能になります。
画像のように、messageの値を test から intercept-update-message に変更し、Forwardを押すことで、リスクエストの内容を変更し送信することが可能です。
入力したHTTPリクエストを変更した際の例(画像)
画像のように、messageの値を test から intercept-update-message に変更し、Forwardを押すことで、リスクエストの内容を変更し送信することが可能です。
変更したHTTP通信の例(画像)
変更をすると本来 testと表示されるメッセージの内容が、intercept-update-messageとなっていることが確認できます。
(補足): HTTPの履歴で変更したリクエストを表示する(画像)
ここまでが通信の内容変更に関する事前課題になります。
また、Proxy > Intercept にアクセスし、Interceptをoffにしてください。
本項では、BurpSuiteを用いたHTTP通信を繰り返す送る方法について学びます。 03-通信内容の変更で送信した通信の内容を、変更しながら繰り返し送ることを本項の目標とします。
まず初めに、先ほど変更をした通信の履歴を開いてください。
変更したHTTP通信の例(画像)
通信の履歴を開いた後、リクエスト上で右クリックをし、Send to Repeaterを押してください。
Send to Repeaterを押すと、Repeaterタブに、先ほどのリクエストと同じものが作成されます。
この作成されたリクエストはUI上部のSendボタンを押すことで再度送信することが可能です。
次に、改変したリクエストを送信してみましょう。
messageの値を、Security-JAWSに変更し送付してみてください。
すると、下画像のような形で、メッセージが入力される箇所に、Security-JAWSが表示されたレスポンスが返されます。
Bodyデータ以外にもHTTP Headerなども変更し送信できるので、ハンズオンの際は試してみてください。 ここまでが通信の内容を繰り返し送るに関する事前課題になります。
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment