Zenn
🦆

BurpSuiteをインストールする

2025/03/02に公開
Security
idea

なぜ作成したのか

  • 昨日コワーキングスペースのWiFi利用リスクを調べるうち、自分でこれらの実態を調べられるようになったら楽しそう、という気持ちになった

参考

https://qiita.com/xyz666/items/f068d8d3de5c4e6e99a1
https://portswigger.net/burp/communitydownload

導入環境

  • surface laptop7(snapdragon)
    • ARMだけど大丈夫…?
  • Windows11 Home

Editionの違い

function Community(free) Professional($475)
HTTP(s) / WebSockets proxy and history. o o
Essential tools - Repeater, Decoder, Sequencer, and Comparer. o o
Burp Intruder (demo). o o
Project files (save your work). o
Orchestrate custom attacks (Burp Intruder - full version). o
Web vulnerability scanner. o
Pro-exclusive BApp extensions. o
Search function. o
Auto and manual OAST testing (Burp Collaborator). o
Automatically crawl and discover content to test. o
  • 今回はお試しでCommunityEditionをインストールする

インストールから初回起動まで

  • サイト からCommunityEditionをダウンロードする

    • サイトはログイン機能があるので、ログインしてない初見さんはメールアドレスの入力を求められる模様

  • ダウンロードするバージョンの確認

    • 今回はデフォルト表示される最新Stableの2025.1.2をダウンロードする
    • ダウンロード始まらないな、とおもっていたらメールが届いていた。「Click Here」をクリックしてRegistrationを完了させる
    • 名前を入力
    • パスワードが発行される
    • ログイン情報入力する
    • MyAccountページにログインする

  • MyAccountのページからProduts>CommunityEditionと遷移し、も一回ダウンロードする

    • ダウンロードが開始する(306MB)。どうやら先にアカウント作成しておいたほうがスムーズに進みそう

  • ダウンロードした burpsuite_community_windows-x64_v2025_1_2.exe ダブルクリックしてインストールを開始する

  • インストーラーが起動したら「Next」をクリックする

  • 任意のディレクトリを指定して「Next」をクリックする

    • ここではデフォルト値のまますすめる

  • スタートメニューへの設置は特に問題ないのでデフォルト値のまま「Next」をクリックする

  • 展開が進む

  • インストールが完了する。「Finish」でインストーラーを終了する

  • スタートメニューにBurpSuiteが追加されている

  • 初回起動時に利用規約と使用条件が表示されたら、規約を確認し、「I Accept」をクリックする

Terms and Conditions(要約)

以下は、Burp Suite Community Edition の利用規約(Terms and Conditions of Supply)に関する要約と、主な重要事項を整理したものです。なお、実際に利用される場合は、必ず原文を熟読したうえでご判断ください。

1. 全体概要

  • Burp Suite Community Edition(以下「ソフトウェア」)を利用する際の条項・条件を定めたもの。
  • 「Burp Suite Community Licence Agreement(コミュニティ版ライセンス契約)」「General Terms and Conditions(一般条項)」「Privacy Policy(プライバシーポリシー)」など、関連ドキュメントを含む。
  • ライセンスのダウンロードやインストールをもって、本規約へ同意したものとみなされる。

2. ソフトウェアのライセンスと利用範囲

  1. ライセンス形態

    • 非独占的かつ譲渡不可のライセンスが付与される(Licensor が一方的にライセンスを取り消すことも可能)。
    • 企業などの内部利用(顧客へのコンサルティング業務含む)を目的とする使用が可能。
    • バックアップ目的でのコピーは認められるが、リセール(再販)は禁止。

  2. インストール・使用の注意点

    • セキュリティテスト用のツールであり、システムに損害を与える可能性がある。
    • 対象システムのバックアップや事前承諾など、安全管理は自己責任で行う必要がある。
    • ソフトウェアは“現状有姿” (as is) で提供され、バグがないことや特定の目的適合性などは保証されていない。

  3. Burp Collaborator や Burp Infiltrator(Enterprise/Professional 向け機能)

    • Community Edition では通常対象外だが、第三者のデータを扱う場合やサーバを利用する場合には、追加の注意・同意が必要。

  4. Extensions(拡張機能)

    • Burp Extender API を利用して拡張機能を作成できるが、公開する場合は Licensor への通知が必要。
    • 公開された拡張機能(Extensions)は Licensor によって Burp App (BApp) として採用される可能性があり、それらを自由に再利用・改変されることに同意する。

3. ライセンス利用者(Licensee)の義務・禁止事項

  1. 不正使用の禁止

    • 違法な目的にソフトウェアを使用しないこと。攻撃対象システムの許可を必ず得たうえで利用すること。
    • 第三者にソフトウェアやドキュメントを提供する場合は、Licensor の許可を得るか、利用条件を遵守させること。

  2. 逆コンパイル等の禁止

    • ソフトウェアのリバースエンジニアリングや改変行為は禁止される(法律によって許可される場合を除く)。

  3. アカウントや資格情報の管理

    • ダウンロードやアクティベーションに用いるアカウント情報・ライセンスキーは厳重に管理し、第三者に不正利用されないようにする義務がある。

  4. 更新版の適用義務

    • 提供されるアップデートや新バージョンは速やかに反映すること(行わない場合、サポート対象外になる可能性がある)。

4. 保証・免責・責任制限

  1. ソフトウェアの保証について

    • ソフトウェアは「現状のまま」提供されるため、特定用途への適合性やバグ・エラーがないことは明示的に保証されない。

  2. 損害賠償責任の制限

    • Licensor が負う損害賠償責任は、直接かつ限定的なものを除き、広範に制限されている。
    • 重大な過失や違法行為による死亡・人身傷害など、法律で責任を除外できない場合を除き、Licensor は「間接・派生的損害(業務損失、逸失利益、データ損失など)」について責任を負わない。
    • Community Edition については、ライセンサー側の最大賠償額がわずか 25 ポンドに制限されている点が明記されている。

  3. 不測事態 (Force Majeure) 条項

    • 天災や戦争、テロなど、Licensor が制御できない事象で発生した損害に対しては、Licensor は責任を負わない。

5. 個人情報およびプライバシー

  • 個人情報の取扱い

    • Licensor のプライバシーポリシーに従い個人情報が取り扱われる。
    • Licensee は、必要な同意や権限を得た上で個人情報を Licensor に提供する責任を負う。

  • 公的な利用事例としての参照

    • Licensor は Licensee を顧客として公開リストやマーケティング資料に記載する場合がある(Licensee が拒否の意思表示をしない限り)。

6. 契約期間・終了 (Termination)

  1. 契約終了の条件

    • Licensee が規約に違反し是正しない場合、Licensor は即時終了を通告できる。
    • 終了時にはソフトウェアの利用を停止し、関連ファイルやコピーを削除・破棄しなければならない。

  2. 終了後の義務

    • ソフトウェアおよび Burp App(拡張機能含む)のアンインストールや削除。
    • 未払い金や違約金等があれば速やかに支払う義務。

7. 準拠法および管轄

  • 準拠法はイングランド法
  • 裁判管轄はイングランド裁判所
  • よって、紛争や問題が生じた場合、イングランド法に従い解決される。

8. まとめ(重要事項)

  1. 利用者責任の明確化

    • ソフトウェアは脆弱性テスト用であり、システムに損害を与える可能性があるため、利用者が責任を負う。
    • 利用者は必ず対象システムの事前承諾を得たうえで使用し、バックアップや運用上のリスク管理を行う必要がある。

  2. ライセンス範囲の厳守

    • ソフトウェアの改変・再配布・リセールは禁止。
    • 逆コンパイルなど、著作権や知的財産権を侵害する行為は禁止。

  3. 開発者(Licensor)の責任制限

    • 無償ライセンス(コミュニティ版)においては、Licensor の賠償責任はごく限定的である。

  4. データやプライバシー保護

    • 個人情報等はプライバシーポリシーに基づき扱われる。
    • 利用者は、会社や顧客のデータを扱う場合、法的な許可や同意を得たうえで利用する責任を負う。

  5. 契約解除

    • 規約違反や支払い不履行などがあれば、Licensor は即時にライセンスを解除できる。

  6. English Law & Exclusive Jurisdiction

    • 何か紛争が生じた場合、イングランド法が適用される。

最終的な注意

  • 「Burp Suite Community Edition」の利用は、規約全文への同意が前提
  • セキュリティツールとしての特性上、利用には十分な注意と法的遵守が求められる。
  • 実運用時には、必ず原文を精読し、自社およびクライアントの法的リスクを十分に検討のうえ利用することが推奨される。

以上が、Burp Suite Community Edition の利用規約の要約と主要ポイントです。実際に利用される際には、原文の内容をすべて確認し、不明点があれば専門家の助言を得たうえで判断してください。

  • Project作成オプションの確認画面が表示されたら「Next」をクリックする
    • CommunityEditionではそもそも Temporary project in memory 以外選択できない
  • 設定の選択画面が表示されたら一旦そのまま「Start Burp」をクリックする
    • 初回起動ではそもそも参照できるConfiguration Fileがない
  • しばらく待っているとProject作成が完了し、Burpが起動する

以上で初回起動は完了。
別途動作確認してみる。

所感

  • 最終的に動作確認するまで確証はないが、インストール時点でARMアーキテクチャによる阻害はなかった。一安心。
  • 時間作って検証環境、シナリオ作って実際の動作も記録したい。
GitHubで編集を提案

Discussion