Burp Suite概要
2022年9月4日 追記2022年9月12日より、Burp Suiteの価格が改定されます。
2023年7月7日 追記2023年9月4日より、Burp Suite Enterpriseの価格が改定されます。
Webアプリケーションのセキュリティテストを⾏うための統合プラットフォームです。Gartner Peer Insightsなどでも高い評価を得ています。
無償版のCommunity Edition、リリース後の細かな手動テストをサポートするProfessional Edition、対象を継続的に自動的に診断しSecDevOpsをサポートするEnterprise Editionの3種類のプランがあります。
- Community Edition:無償で使用可能で、基本的な診断を手動により行うことができます。また、商用利用も可能です。
※商用利用については、License Agreement 1.2.1にて規定されております。 - Professional Edition:Community Editionのすべての機能に加えて、Burp Scanner(コンテンツの自動探索とセキュリティ上の⽋陥を⾃動的に検出することが可能)などの機能を利用することができます。手動診断を業務とする場合には必須のツールです。ユーザーライセンスでのご提供となり、1ユーザーあたり1ライセンス契約が必要です。マシンライセンスなど他形態のライセンスのご提供はありません。
- Enterprise Edition:定期的なスキャン設定や、拡張機能、CI統合機能を搭載します。手動診断には対応していないため、必要に応じてProfessional Editionと組み合わせて使用します。Professional Editionと異なり、ユーザー数の制限はありません。
同時スキャン数・利用時間といった要件により、以下の3つのライセンスから選択可能です。- Burp Suite Enterprise – Classic:同時スキャン数に応じて価格が変動する契約形態
- Burp Suite Enterprise – Pay as you scan (PAYS):スキャン時間数に応じて価格が変動する契約形態
- Burp Suite Enterprise – Unlimited:同時スキャン数・スキャン時間数によらず定額で利用可能な契約形態
Enterprise Editionのライセンスについては以下のブログ記事をご参考ください。
価格
2024年10月現在の、各製品の価格は以下の通りです。ただし Burp Suite Enterprise は、2024年11月と2025年1月以降に、段階的に価格体系に変更予定がございます。詳細はお問い合わせください。
- Burp Suite Professional:449ドル
- Burp Suite Enterprise – Classic:
- 本体(同時スキャン1回分の権利を含む):6,600ドル
- 同時スキャン回数の追加:659ドル/回
(例)Burp Suite Enterpriseを用いて、自社のウェブサイト最大5サイトを同時に診断する場合は、以下の価格になります。
本体+同時スキャン回数追加4回 = 6,600 + 4 x 659 = 9,236ドル
- Burp Suite Enterprise – Pay as you scan (PAYS)
- 本体:年間1,999ドル
- スキャン時間単価:9ドル/時間
- Burp Suite Enterprise – Unlimited:49,999ドル
Burp Suite Community Edition と Burp Suite Professional Edition の違い
- Community Editionの特徴
- 基本的な手動ペンテスト(例:HTTPリクエスト/レスポンスの確認)に適しています。
- 無料で使えるため、セキュリティ学習者や個人利用に向いています。
- 自動スキャニングや拡張機能は利用できないため、機能面では大幅に制限があります。
- Professional Editionの特徴
- Burp Scannerを用いた自動化された脆弱性スキャン機能により、作業効率が大幅に向上します。
- IntruderやRepeaterなどの高度なツールで、詳細なテストや攻撃シミュレーションが可能です。
- 拡張性が高く、BApp Storeから追加機能をインストールして、カスタマイズが可能です。
- 商用利用やプロフェッショナルなアプリケーションセキュリティテストに最適です。
| 機能 | 機能概要 | Community | Professional |
|---|---|---|---|
| Target | 対象アプリケーションに関する詳細情報を設定することができ、診断スコープを定義することが可能です。 | ||
| Burp Proxy | エンドブラウザと対象Webアプリケーションの間の中間者として通信をインターセプトするWebプロキシです。双方向で通過する生のトラフィックのインターセプト、検査、変更が可能です。また、HTTPSを使用したテストにも使用可能です。 | ||
| Burp Scanner | Webサイトのコンテンツと脆弱性をスキャンするタスクを自動化します。アプリケーションをクロールしてコンテンツや機能を検出し、脆弱性を検出することが可能です。ユーザー認証情報を提供することで、アクセスが制限されているコンテンツの検出・検査も可能です。さらに、シングルサインオンなどの複雑なログインにも対応しています。JSON ベースの API 定義をスキャンして脆弱性を検出する場合にも利用します。 | ||
| Burp Intruder | Webアプリケーションに対して、カスタマイズした自動攻撃を実行するための強力なツールです。詳細な設定が可能で、テストをより速く効果的に実施するための数多くのタスクで使用可能です。 | 試行速度などに制限あるため実用不向き。 | |
| Burp Repeater | HTTPやWebSocketのメッセージを手動で修正して何度も送信し、アプリケーションからのレスポンスを分析することができるツールです。 例えば、以下のような用途に使用することができます。 ・入力ベースの脆弱性をテストするために、パラメータ値を変化させたリクエストを送信する。 ・特定の順序で一連のHTTPリクエストを送信し、複数ステップの処理や、接続状態の操作に依存する脆弱性をテストする。 ・Burp Scannerから報告された問題を、手動で検証する。 | ||
| Burp Sequencer | サンプルデータが適切なランダム性を有するかを分析することができます。アプリケーションのセッショントークンや、アンチCSRFトークン、パスワードリセットトークンなどの重要なデータ項目が、意図した通りに予測不可能であることかをテストすることなどが可能です。 | ||
| Burp Decoder | アプリケーションデータを、手動または賢くデコードやエンコードを行う便利なユーティリティです。 | ||
| Burp Comparer | 類似したHTTPメッセージなど2つのデータ間の、差分を視覚的に表示する便利なユーティリティです。 | ||
| Burp Logger | Burp Suiteが生成する全てのHTTPトラフィックの記録・分析を行うツールです。Burp Suiteに搭載されている各種ツールや拡張機能から送信されたリクエストを調査したり、Burp Scannerから送信されたリクエストをリアルタイムで見ることなどが可能です。 | ||
| Burp Inspector | HTTPやWebSocketのメッセージを解析、編集する便利な機能があります。 | ||
| Burp Collaborator | Burp Suiteが様々な種類の脆弱性を発見するために使用するネットワークサービスです。ブラックボックス型の診断では検出が難しい脆弱性の検出もカバーします。インターネット上に公開されているパブリックCollaboratorサーバーとオンプレミスで構築可能なプライベートCollaboratorサーバーの両方が利用可能です。 | ||
| Burp Collaboratorクライアント | 手動テスト中にBurp Collaboratorを使用するツールです。 | ||
| DOM Invader | さまざまなソースとシンクを使用してDOM XSS脆弱性を見つけるツールです。Web メッセージとプロトタイプ汚染も検査可能です。 | ||
| Burp Clickbandit | クリックジャッキング攻撃を生成し、検査するためのツールです。 | ||
| Burp Infiltrator | 対象のWebアプリケーションに一部変更を加えて、安全でないAPIの呼び出しを検出します。※実際に対象アプリケーションに変更を加えるため、本番システムなどへの使用は非推奨です。 | ||
| Target Analyzer | 対象のWebアプリケーションを分析して、対象に含まれる静的ページ・動的ページの数と、各URLが取るパラメータの数を確認することができます。これにより、診断に必要な工数の見積、注力すべきポイントを識別するのが容易になります。 | ||
| Content discovery | リンクされていないコンテンツなどを発見するための機能です。名前の推測、Web クロール、アプリケーション内で使用されている命名規則からの推測など、さまざまな手法でコンテンツを発見します。 | ||
| CSRF PoCの生成 | 与えられたリクエストに対して、クロスサイトリクエストフォージェリ(CSRF)攻撃のためのPoCを生成する機能です。 | ||
| Manual testing simulator | 脆弱性の検出のために利用するための実用的なツールではないものの、手動で診断しているように見せかけるログを、対象のWebアプリケーションサーバーに自動的に残すためのツールです。 | ||
| BApp | Burp Suiteの拡張プラグイン | 一部利用不可 | 制限なし |
| タスクのスケジュール | 自動化されたタスクの実行を指定した時間に一時停止したり、再開したりすることができる機能です。 | ||
| プロジェクトファイルの保存 | 作業内容と構成設定を保持することができます。 | ||
| 検索 | 対象サイトマップの一部または全部を検索して、コメントやスクリプトを見つけることができます。また、特定のアイテムにリンクしているHTTPレスポンスを、Burpのすべてのツールで検索することができます。 | ||
| 利用可能なサポート | 1. ユーザーフォーラム(英語) 2. テクニカルサポート(英語メール) 3. 当社アンカーテクノロジーズによる日本語サポート(有償オプション) | 1のみ | 1〜3 |
各機能についてはメーカーのブログ記事においても概要をご確認いただけます。
Burp Suite Professional と Burp Suite Enterprise の違い
Burp Suite Professional
- 特徴
- 手動ペネトレーションテストに特化。
- セキュリティ専門家がアプリケーションの脆弱性を詳細に調査するために使用。
- 高度なカスタマイズが可能で、スクリプトやプラグインを使用した柔軟なテストが可能。
- 利用シーン
- 【専門的な脆弱性調査】手動操作で脆弱性を深く掘り下げる必要がある場合。
- 【特定のターゲットアプリケーション】テスト範囲が限られており、詳細な調査が求められる場合。
- 【アクティブな調査と検証】攻撃シナリオの再現や検証を行いたい場合。
Burp Suite Enterprise
- 特徴
- 継続的かつ自動化された脆弱性スキャンに特化。
- 組織内での大規模な運用を念頭に設計され、CI/CDパイプラインに統合可能。
- 複数のユーザーやチームが利用できる環境を提供。
- 利用シーン
- 【大規模なスキャン】多くのアプリケーションやWebサイトを定期的にスキャンしたい場合。
- 【継続的なセキュリティテスト】CI/CDパイプラインに統合し、自動的にセキュリティスキャンを実行する場合。
- 【チームでの利用】複数のユーザーや部署間でレポートやスキャン結果を共有したい場合。
| 機能 | Professional Edition | Enterprise Edition |
|---|---|---|
| 主な用途 | 手動ペネトレーションテストや、インタラクティブな脆弱性診断 | 継続的な自動スキャンと大規模デプロイメント |
| 主な対象ユーザー | セキュリティエンジニア、リサーチャー、ペネトレーションテスト担当者 | 開発チーム、DevOpsチーム、中規模〜大規模組織のセキュリティ担当者 |
| 自動スキャニング機能 | 基本的な自動スキャニング(手動テストがメイン) | 高度な自動スキャニング(スケジュール設定や大規模運用対応) |
| スケジュール設定 | 非対応 | スキャンのスケジュール設定が可能 |
| ユーザー管理 | 1ユーザー専用(1ライセンスを1ユーザーで利用) | 複数ユーザーの管理(ロールベースのアクセス制御機能など有り) |
| スキャン対象 | 単一または少数のウェブアプリケーション | 数十〜数千のウェブアプリケーション |
| CI/CD統合 | 対応(手動でのセットアップ) | ネイティブなCI/CD統合(Jenkins、GitLabなど) |
| デプロイ環境 | ローカル環境(手動インストール) | オンプレミス、クラウド、Kubernetes環境に対応 |
| レポート生成 | 簡易的なレポート | 詳細なカスタムレポート生成 |
| サポート対象 | 1台のデバイスで利用可能 | チーム全体で利用可能、複数のスキャンリソースを管理 |
Burp Suite Professional と Burp Suite Enterprise は、両方組み合わせて活用することが可能です。Professional Editionだけでは、自動化されたスキャンが不足し、継続的なセキュリティ管理が難しく、Enterprise Editionだけでは、特定の状況で必要となる、手動による詳細テストが実施できません。
Burp Suite Community Edition
Burp Suite Community Editionは、無償で利用可能なアプリケーションで、多くの機能が利用可能です。
ただし、前項に揚げる表の通り、一部機能はご利用いただけません。
Burp Suite Communityは、このページでダウンロード可能です。
Burp Suite Professional Edition
無償で使用可能な Community Editionに比べて、柔軟かつ幅広い機能を利用可能です。
▼Burp Suite ProfessionalのUI
▼Burp Scannerを用いた脆弱性スキャン
Burp Suite Enterprise Edition
Burp Suite Enterprise Editionは、Burp Suite Professional Editionの機能を拡張し、診断の自動化を強力にサポートする製品です。
それまでの「手動による診断から、診断の自動化への移行」または「手動による診断に加えて、診断の自動化も新たに始める」ということを目的に、Burp Suite Enterprise Edition を導入するケースが多数あります。
(例)ShopifyにおけるBurp Suite ProfessionalからEnterpriseへの移行事例
▼サイト設定
▼スキャンマシン設定
▼スキャンの実施
▼チーム設定
▼CI/CDツールとの連携設定
ライブデモサイトはこちらから。スキャン結果の主要部分のみご確認いただけます。デモサイトではスキャンはできません。
その他製品情報
開発ロードマップはこちらからご確認いただけます。
FAQ
- 納品はどのように行われますか?
- Burp Suiteのトライアルは可能ですか?
- Burp Scanner によって特定された Issue の severity (High, Medium, Low, Informational) の判定基準は何ですか?
- Burp Suiteの性能をテストしたいです。脆弱なウェブアプリとしてテストに使えるものはありますか?
- Burp Suiteを用いて適切なパフォーマンスで稼働させたり、適切な結果を得るために考慮すべき点はありますか。
- "Activation Failed / no more activations allowed for this license." というエラーが表示されてライセンスをアクティベーションできなくなりました。対象方法はありますか?
