Burp Suite概要
2022年9月4日 追記2022年9月12日より、Burp Suiteの価格が改定されます。
2023年7月7日 追記2023年9月4日より、Burp Suite Enterpriseの価格が改定されます。
Webアプリケーションのセキュリティテストを⾏うための統合プラットフォームです。Gartner Peer Insightsなどでも高い評価を得ています。
無償版のCommunity Edition、リリース後の細かな手動テストをサポートするProfessional Edition、対象を継続的に自動的に診断しSecDevOpsをサポートするEnterprise Editionの3種類のプランがあります。
- Community Edition:無償で使用可能で、基本的な診断を手動により行うことができます。また、商用利用も可能です。
※商用利用については、License Agreement 1.2.1にて規定されております。 - Professional Edition:Community Editionのすべての機能に加えて、Burp Scanner(コンテンツの自動探索とセキュリティ上の⽋陥を⾃動的に検出することが可能)などの機能を利用することができます。手動診断を業務とする場合には必須のツールです。ユーザーライセンスでのご提供となり、1ユーザーあたり1ライセンス契約が必要です。マシンライセンスなど他形態のライセンスのご提供はありません。
- Enterprise Edition:定期的なスキャン設定や、拡張機能、CI統合機能を搭載します。手動診断には対応していないため、必要に応じてProfessional Editionと組み合わせて使用します。Professional Editionと異なり、ユーザー数の制限はありません。
同時スキャン数・利用時間といった要件により、以下の3つのライセンスから選択可能です。- Burp Suite Enterprise – Classic:同時スキャン数に応じて価格が変動する契約形態
- Burp Suite Enterprise – Pay as you scan (PAYS):スキャン時間数に応じて価格が変動する契約形態
- Burp Suite Enterprise – Unlimited:同時スキャン数・スキャン時間数によらず定額で利用可能な契約形態
Enterprise Editionのライセンスについては以下のブログ記事をご参考ください。
価格
2024年9月現在、各製品の価格は以下の通りです。
- Burp Suite Professional:449ドル
- Burp Suite Enterprise – Classic:
- 本体(同時スキャン1回分の権利を含む):6,600ドル
- 同時スキャン回数の追加:659ドル/回
(例)Burp Suite Enterpriseを用いて、自社のウェブサイト最大5サイトを同時に診断する場合は、以下の価格になります。
本体+同時スキャン回数追加4回 = 6,600 + 4 x 659 = 9,236ドル
- Burp Suite Enterprise – Pay as you scan (PAYS)
- 本体:年間1,999ドル
- スキャン時間単価:9ドル/時間
- Burp Suite Enterprise – Unlimited:49,999ドル
備考
- Burp Suite Enterprise – Classic と Burp Suite Enterprise – Unlimited を比較した際の、損益分岐点となる同時スキャン数は67スキャンです。66スキャン未満であればClassicの方が安価、67スキャンであればUnlimitedの方が安価です。
- Burp Suite Enterprise – Classic と Burp Suite Enterprise – Pay as you scan (PAYS) を比較した際の、同時スキャン数を1とした場合の損益分岐点となる年間使用時間数は約512時間です。511時間以下であればPAYの方が安価、512時間以上であればClassicの方が安価です。
Burp Suite Community Edition と Burp Suite Professional Edition の違い
| 機能 | 機能概要 | Community | Professional |
|---|---|---|---|
| Target | 対象アプリケーションに関する詳細情報を設定することができ、診断スコープを定義することが可能です。 | ||
| Burp Proxy | エンドブラウザと対象Webアプリケーションの間の中間者として通信をインターセプトするWebプロキシです。双方向で通過する生のトラフィックのインターセプト、検査、変更が可能です。また、HTTPSを使用したテストにも使用可能です。 | ||
| Burp Scanner | Webサイトのコンテンツと脆弱性をスキャンするタスクを自動化します。アプリケーションをクロールしてコンテンツや機能を検出し、脆弱性を検出することが可能です。ユーザー認証情報を提供することで、アクセスが制限されているコンテンツの検出・検査も可能です。さらに、シングルサインオンなどの複雑なログインにも対応しています。JSON ベースの API 定義をスキャンして脆弱性を検出する場合にも利用します。 | ||
| Burp Intruder | Webアプリケーションに対して、カスタマイズした自動攻撃を実行するための強力なツールです。詳細な設定が可能で、テストをより速く効果的に実施するための数多くのタスクで使用可能です。 | 試行速度などに制限あるため実用不向き。 | |
| Burp Repeater | HTTPやWebSocketのメッセージを手動で修正して何度も送信し、アプリケーションからのレスポンスを分析することができるツールです。 例えば、以下のような用途に使用することができます。 ・入力ベースの脆弱性をテストするために、パラメータ値を変化させたリクエストを送信する。 ・特定の順序で一連のHTTPリクエストを送信し、複数ステップの処理や、接続状態の操作に依存する脆弱性をテストする。 ・Burp Scannerから報告された問題を、手動で検証する。 | ||
| Burp Sequencer | サンプルデータが適切なランダム性を有するかを分析することができます。アプリケーションのセッショントークンや、アンチCSRFトークン、パスワードリセットトークンなどの重要なデータ項目が、意図した通りに予測不可能であることかをテストすることなどが可能です。 | ||
| Burp Decoder | アプリケーションデータを、手動または賢くデコードやエンコードを行う便利なユーティリティです。 | ||
| Burp Comparer | 類似したHTTPメッセージなど2つのデータ間の、差分を視覚的に表示する便利なユーティリティです。 | ||
| Burp Logger | Burp Suiteが生成する全てのHTTPトラフィックの記録・分析を行うツールです。Burp Suiteに搭載されている各種ツールや拡張機能から送信されたリクエストを調査したり、Burp Scannerから送信されたリクエストをリアルタイムで見ることなどが可能です。 | ||
| Burp Inspector | HTTPやWebSocketのメッセージを解析、編集する便利な機能があります。 | ||
| Burp Collaborator | Burp Suiteが様々な種類の脆弱性を発見するために使用するネットワークサービスです。ブラックボックス型の診断では検出が難しい脆弱性の検出もカバーします。インターネット上に公開されているパブリックCollaboratorサーバーとオンプレミスで構築可能なプライベートCollaboratorサーバーの両方が利用可能です。 | ||
| Burp Collaboratorクライアント | 手動テスト中にBurp Collaboratorを使用するツールです。 | ||
| DOM Invader | さまざまなソースとシンクを使用してDOM XSS脆弱性を見つけるツールです。Web メッセージとプロトタイプ汚染も検査可能です。 | ||
| Burp Clickbandit | クリックジャッキング攻撃を生成し、検査するためのツールです。 | ||
| Burp Infiltrator | 対象のWebアプリケーションに一部変更を加えて、安全でないAPIの呼び出しを検出します。※実際に対象アプリケーションに変更を加えるため、本番システムなどへの使用は非推奨です。 | ||
| Target Analyzer | 対象のWebアプリケーションを分析して、対象に含まれる静的ページ・動的ページの数と、各URLが取るパラメータの数を確認することができます。これにより、診断に必要な工数の見積、注力すべきポイントを識別するのが容易になります。 | ||
| Content discovery | リンクされていないコンテンツなどを発見するための機能です。名前の推測、Web クロール、アプリケーション内で使用されている命名規則からの推測など、さまざまな手法でコンテンツを発見します。 | ||
| CSRF PoCの生成 | 与えられたリクエストに対して、クロスサイトリクエストフォージェリ(CSRF)攻撃のためのPoCを生成する機能です。 | ||
| Manual testing simulator | 脆弱性の検出のために利用するための実用的なツールではないものの、手動で診断しているように見せかけるログを、対象のWebアプリケーションサーバーに自動的に残すためのツールです。 | ||
| BApp | Burp Suiteの拡張プラグイン | 一部利用不可 | 制限なし |
| タスクのスケジュール | 自動化されたタスクの実行を指定した時間に一時停止したり、再開したりすることができる機能です。 | ||
| プロジェクトファイルの保存 | 作業内容と構成設定を保持することができます。 | ||
| 検索 | 対象サイトマップの一部または全部を検索して、コメントやスクリプトを見つけることができます。また、特定のアイテムにリンクしているHTTPレスポンスを、Burpのすべてのツールで検索することができます。 | ||
| 利用可能なサポート | 1. ユーザーフォーラム(英語) 2. テクニカルサポート(英語メール) 3. 当社アンカーテクノロジーズによる日本語サポート(有償オプション) | 1のみ | 1〜3 |
各機能についてはメーカーのブログ記事においても概要をご確認いただけます。
Burp Suite Professional と Burp Suite Enterprise の違い
Burp Suite Professional と Burp Suite Enterprise の機能の違いは、こちらでご確認いただけます。
Burp Suite Community Edition
無償で利用可能なアプリケーションで、多くの機能が利用可能です。
ただし、前項に揚げる表の通り、一部機能はご利用いただけません。
Burp Suite Communityは、このページでダウンロード可能です。
Burp Suite Professional Edition
無償で使用可能な Community Editionに比べて、柔軟かつ幅広い機能を利用可能です。
▼Burp Suite ProfessionalのUI
▼Burp Scannerを用いた脆弱性スキャン
Burp Suite Enterprise Edition
Burp Suite Enterprise Editionは、Burp Suite Professional Editionの機能を拡張し、診断の自動化を強力にサポートする製品です。
それまでの「手動による診断から、診断の自動化への移行」または「手動による診断とに加えて、診断の自動化も新たに始める」ということを目的に、Burp Suite Professional EditionにBurp Suite Enterprise Editionに移行するケースが多数あります。
(例)ShopifyにおけるBurp Suite ProfessionalからEnterpriseへの移行事例
▼サイト設定
▼スキャンマシン設定
▼スキャンの実施
▼チーム設定
▼CI/CDツールとの連携設定
ライブデモサイトはこちらから。スキャン結果の主要部分のみご確認いただけます。デモサイトではスキャンはできません。
その他製品情報
開発ロードマップはこちらからご確認いただけます。
FAQ
- 納品はどのように行われますか?
- Burp Suiteのトライアルは可能ですか?
- Burp Scanner によって特定された Issue の severity (High, Medium, Low, Informational) の判定基準は何ですか?
- Burp Suiteの性能をテストしたいです。脆弱なウェブアプリとしてテストに使えるものはありますか?
- Burp Suiteを用いて適切なパフォーマンスで稼働させたり、適切な結果を得るために考慮すべき点はありますか。
- "Activation Failed / no more activations allowed for this license." というエラーが表示されてライセンスをアクティベーションできなくなりました。対象方法はありますか?
