このセクションの内容:

はじめに

このパッケージを利用すると、Burp Suite セキュリティ診断ツールを使って、SOAtest のテストシナリオでAPI およびブラウザーベースの Web アプリケーションのセキュリティテストと侵入テストを実行できます。このパッケージには、Burp Suite にインストールする Burp Extender に加えて、SOAtest で使用する以下の 2 つのツールを含みます。

Burp Suite Analysis Tool: セキュリティ解析のために Burp Suite にデータを送り、SOAtest ユーザーインターフェイスで Burp Suite の指摘事項をレポートします。
Burp Suite Reporter: セキュリティ解析の指摘事項についての Burp Suite レポートを生成します。

前提条件

SOAtest 9.10 以降
SOAtest の .tst ファイル。少なくとも 1 つのテストクライアントを含むこと (例：SOAP、REST、EDI、Messaging Client)
Burp Suite Professional 1.6 以降

SOAtest ツールのインストール

SOAtest ツールは soatestburpsuitetools.jar ファイルで提供します。UI またはコマンドラインからインストールできます。

UI からのインストール

[Parasoft] > [設定] を選択します。
[システムプロパティ] ページで [JAR の追加] をクリックします。
ファイル選択用ダイアログで soatestburpsuitetools.jar を選択し、SOAtest の classpath にこの jar ファイルを追加します。

コマンドラインからのインストール

localsettings プロパティファイルの system.properties.classpath プロパティに soatestburpsuitetools.jar を追加します。

例:

system.properties.classpath=<path to jar>/soatestburpsuitetools.jar

Burp Suite への Parasoft SOAtest Burp Extender のインストール

Parasoft SOAtest Burp Extender (burpsuiteextender.jar) は、Burp Extenders をインストールする標準的な方法でインストールします。

Burp Suite UI を起動します。
[Extender] > [Extensions] タブで [Add] をクリックします。
[Extension Details] で、[Extension type] が Java に設定されていることを確認し、[Extension file (.jar)] フィールドで burpextender.jar ファイルを指定します。
[Next] をクリックします。[Output] タブに “Parasoft SOAtest Burp Extender” というメッセージが表示されるはずです。
[Errors] タブにエラーがレポートされていないことを確認し、[Close] をクリックします。

使い方の概要

Burp Suite 側では、HTTP サーバーを使って Burp Suite を拡張した Parasoft SOAtest Burp Extender が SOAtest Burp Suite Analysis Tool とのやり取りを可能にします。SOAtest 側には、Burp Suite でテストするAPI のテストシナリオに Burp Suite Analysis Tool を追加します。

テスト実行時には、Burp Suite Analysis Tool を連結した各テストは、通常通りにテスト対象アプリケーションとやり取りします(以下の #1 を参照)。そしてセキュリティ解析のためにデータを Burp Suite に送ります (以下の #2 を参照)。Burp Suite は、解析を実行するためにテスト対象アプリケーションとやり取りします。

テストの実行ごとにその結果を SOAtest の [品質タスク] ビューに送ります (以下の #3 を参照)。テスト結果を XML レポートとして保存し、Parasoft DTP にアップロードできます(「DTP への接続」を参照)。

Burp Suite Reporter ツールの実行時に詳細なセキュリティ情報を持った Burp Suite HTML レポートを生成します (以下の #4 を参照)。

Burp Suite の解析は通常のテストシナリオよりも時間がかかるため、2 種類のテストシナリオを管理することを強く推奨します（１つは機能テストの実行用、もう１つはセキュリティテストの実行用）。セキュリティテストを実行する場合は、必ず最新の機能テストシナリオをコピーし、このコピーにBurp Suite ツールを追加してください。そうすると、動作やパフォーマンスに影響を与えることなく元の機能テストを使い続けられます。

この操作のための一般的なワークフローは以下のとおりです。

セキュリティテストに使用するテストシナリオを特定し、コピーします。通常と同じように、オリジナルのテストシナリオを使って機能テストを実行し続けることができます。
コピーしたテストシナリオに Burp Suite ツールを追加し、セキュリティテストとして実行します。
アプリケーションが変更されたら、機能テストシナリオだけを更新します。対応するセキュリティテストシナリオの実行準備ができたら、そのたびに上記のステップを繰り返して最新の機能テストのコピーを作成し、コピーに対してセキュリティテストを構成します。

Burp Suite テスト用のテストシナリオの構成

テストシナリオの各々のテストクライアント (例：SOAP Client、REST Client、EDI Client、Messaging Client) の出力ツールとして Burp Suite Analysis Tool を連結します。必ずテストクライアントの[トラフィックオブジェクト] に連結してください (「テスト出力の追加」を参照)。
複数の出力の追加
テストシナリオのすべてのツールに出力を追加する最も簡単な方法は、テストシナリオの先頭ノードを右クリックし、[複数の出力を追加] を選択して以下の操作を行うことです。
- テストクライアントの場合、左側で [両方] > [トラフィックオブジェクト] を選択し、右側で [Burp Suite Analysis Tool] を選択します。
- Browser Playback ツールの場合、左側で [ブラウザーコンテンツ] を選択し、右側で [Burp Suite Analysis Tool] を選択します。
シナリオでレポートを生成したいポイントに（出力ツールではなく）標準テストとして BurpSuite Reporter ツールを１つ追加します。このツールを実行すると、Burp Suite レポートを生成します。このレポートは、実行の開始時からレポートされたセキュリティ解析結果 (これが最初のBurp Suite Reporter ツールの場合)、または前のBurp Suite Reporter ツールが実行されたときからレポートされたセキュリティ解析結果を含みます。

たとえば、3 つのテストシナリオを持つ .tst ファイルがあるものとします。3 つのテストシナリオすべてのセキュリティ解析結果を含むレポートを 1 つ生成したい場合、3 番目のテストシナリオの最後に Burp Suite Reporter ツールを1 つ追加します。テストシナリオごとに個別にレポートを作成したい場合であれば、各テストシナリオの最後に Burp Suite Reporter ツールを1 つ追加します（合計で Burp Suite Reporter ツールを3 つ追加します）。

プロジェクトまたはディレクトリ内のすべての .tst を実行した後にレポートを１つ生成したい場合、Burp Suite Reporter だけを含む .tst ファイルを作成し、最後に実行される .tst ファイルであることが分かるような名前を付けると良いでしょう (.tst ファイルはアルファベット順に実行されるため、たとえば、“zzz_reporting.tst” のような名前を付けます)。
Burp Suite Reporter ツールの Report Location オプションを設定し、Burp Suite HTML レポートの保存先を指定します。このオプションを指定しない場合、レポートは [${BurpSuiteWorkingDirectory}/SOAtestBurpExtender/report_YYYY-MM-DD_HH-MMSS.html] に保存されます。

テストの実行

Burp Suite テスト用のテストシナリオの構成が完了したら、以下の操作を行ってセキュリティテストを実行できます。

Burp Suite を起動します。
Burp Suite の [Target] > [Scope] 設定ページで URL パターンを入力してターゲットスコープを定義します。この定義を行わない場合、SOAtest の解析リクエストが無視されます。
Burp Suite のテストとレポート用に構成された SOAtest テストシナリオを実行します。

テストの実行が完了すると、指定のレポートディレクトリに、関連する Burp Suite レポートが保存されます。

SOAtest の [品質タスク] ビューと SOAtest で生成したレポートには、Burp Reporter を使って直接 Burp Suite から生成したレポートよりも多くの問題が表示されることがあります。その理由は、SOAtest はフィルタリングされていない発見された課題のリストを表示するため、一部の課題が重複することがあるからです。一方、Burp Suite は固有とみなす課題だけを表示し、重複とみなす課題はひとつにまとめます。

デフォルト以外のポートによる Burp Suite への接続

デフォルトでは、Burp Suite Analysis Tool は Burp Suite Extension の HTTP サーバーが localhost のポート 9898 で公開していることを想定します。そして Burp Suite と SOAtest は同じマシン上に導入していることを想定します。異なるポートを使用している場合、Burp Suite Extension とSOAtest 内で実行される Burp Suite Analysis Tool の両方について、ホストとポートを再設定する必要があります。

Burp Suite Extension のポートの設定

Burp Suite 起動時に以下の引数を渡します。

java -Dburpsuite.extension.port=<new value> -jar burpsuite_pro_v-1.7.03

SOAtest Burp Suite Analysis Tools が使用するポートの設定

SOAtest 起動時に以下の引数を渡します。

soatest.exe -J-Dburpsuite.extension.port=<new value>

タイムアウトの設定

テストを自動化する場合、Burp Suite が解析を完了するまで時間がかかったり応答不能になったりするケースに対処するため、タイムアウトを設定する必要があるかもしれません。タイムアウトを設定すると、たとえ Burp Suite が解析を完了していなくても、SOAtest テストシナリオは実行を継続できます。タイムアウトを設定しない場合、Burp Suite からすべての結果を取得するまで、Burp Suite Analysis Too ツールは処理を完了しません。

タイムアウトを設定するには、SOAtest 起動時に以下の引数を渡します。

soatest.exe -J-Dburpsuite.extension.timeout=<value>

なお、この値の単位は分です。また、 -1 はタイムアウトを適用しないことを意味します。

ログレベルの変更

デフォルトでは、Burp Suite Analysis Tool と Burp Suite Reporter のログレベルはどちらも "warn" です。コンソールと Event Monitor ビューに表示されるログの詳細レベルを変更したい場合、ツールのログレベル設定を変更できます。

重要度レベルの設定

Burp Suite Analysis Tool がレポートする最低限の重要度レベルを設定できます。デフォルトでは、レポートされる最小限の重要度レベルは "low" です。したがって、"low"、"medium"、"high" のすべての違反がレポートされます。SOAtest 起動時に以下の引数を渡すことで、デフォルトの設定を変更できます。

-J-Dburpsuite.extension.severity.filter=<severity>

以下のセキュリティレベルを設定できます。

high
medium
low
information

高いレベルの重要度を設定すると、それよりも重要度が低いエラーは無視されます。なお、重要度レベルの設定では大文字と小文字を区別しません。

サードパーティのコンテンツ

Parasoft Burp Suite Extensions は、以下のサードパーティのコンテンツを含みます。

その他のライセンスの詳細については、Parasoft Burp Suite Extensions の licenses フォルダーを参照してください。

Page tree

Burp Suite Extensions 1.0