更新日：2024.06.02

Burp Suite

Webアプリケーションのセキュリティテストを⾏うための統合プラットフォームです。無償版のCommunity Edition、リリース後の精緻な手動テストをサポートするProfessional Edition、対象を継続的に自動的に診断しSecDevOpsをサポートするEnterprise Editionの3種類のプランがあります。

目次閉じる開く

Burp Suite概要

Burp Suite概要

[2022年9月4日注記] 2022年9月12日より、Burp Suiteの価格が改定されます。
[2023年7月7日注記] 2023年9月4日より、Burp Suite Enterpriseの価格が改定されます。

Webアプリケーションのセキュリティテストを⾏うための統合プラットフォームです。Gartner Peer Insightsなどでも高い評価を得ています。

無償版のCommunity Edition、リリース後の細かな手動テストをサポートするProfessional Edition、対象を継続的に自動的に診断しSecDevOpsをサポートするEnterprise Editionの3種類のプランがあります。

Community Edition：無償で使用可能で、基本的な診断を手動により行うことができます。また、商用利用も可能です。
※商用利用については、License Agreement 1.2.1にて規定されております。
Professional Edition：Community Editionのすべての機能に加えて、Burp Scanner（コンテンツの自動探索とセキュリティ上の⽋陥を⾃動的に検出することが可能）などの機能を利用することができます。手動診断を業務とする場合には必須のツールです。ユーザーライセンスでのご提供となり、1ユーザーあたり1ライセンス契約が必要です。マシンライセンスなど他形態のライセンスのご提供はありません。
Enterprise Edition：定期的なスキャン設定や、拡張機能、CI統合機能を搭載します。手動診断には対応していないため、必要に応じてProfessional Editionと組み合わせて使用します。Professional Editionと異なり、ユーザー数の制限はありません。
同時スキャン数・利用時間といった要件により、以下の3つのライセンスから選択可能です。
- Burp Suite Enterprise – Classic：同時スキャン数に応じて価格が変動する契約形態
- Burp Suite Enterprise – Pay as you scan (PAYS)：スキャン時間数に応じて価格が変動する契約形態
- Burp Suite Enterprise – Unlimited：同時スキャン数・スキャン時間数によらず定額で利用可能な契約形態

Enterprise Editionのライセンスについては以下のブログ記事をご参考ください。

価格

2023年9月4日現在、各製品の価格は以下の通りです。

Burp Suite Professional：449ドル
Burp Suite Enterprise – Classic：
- 本体（同時スキャン1回分の権利を含む）：6,600ドル
- 同時スキャン回数の追加：659ドル／回
  （例）Burp Suite Enterpriseを用いて、自社のウェブサイト最大5サイトを同時に診断する場合は、以下の価格になります。
  本体＋同時スキャン回数追加4回 = 6,600 + 4 x 659 = 9,236ドル
Burp Suite Enterprise – Pay as you scan (PAYS)
- 本体：年間1,999ドル
- スキャン時間単価：9ドル／時間
Burp Suite Enterprise – Unlimited：49,999ドル

備考

Burp Suite Enterprise – Classic と Burp Suite Enterprise – Unlimited を比較した際の、損益分岐点となる同時スキャン数は67スキャンです。66スキャン未満であればClassicの方が安価、67スキャンであればUnlimitedの方が安価です。
Burp Suite Enterprise – Classic と Burp Suite Enterprise – Pay as you scan (PAYS) を比較した際の、同時スキャン数を1とした場合の損益分岐点となる年間使用時間数は約512時間です。511時間以下であればPAYの方が安価、512時間以上であればClassicの方が安価です。

Burp Suite Community Edition と Burp Suite Professional Edition の違い

機能	機能概要	Community	Professional
Target	対象アプリケーションに関する詳細情報を設定することができ、診断スコープを定義することが可能です。
Burp Proxy	エンドブラウザと対象Webアプリケーションの間の中間者として通信をインターセプトするWebプロキシです。双方向で通過する生のトラフィックのインターセプト、検査、変更が可能です。また、HTTPSを使用したテストにも使用可能です。
Burp Scanner	Webサイトのコンテンツと脆弱性をスキャンするタスクを自動化します。アプリケーションをクロールしてコンテンツや機能を検出し、脆弱性を検出することが可能です。ユーザー認証情報を提供することで、アクセスが制限されているコンテンツの検出・検査も可能です。さらに、シングルサインオンなどの複雑なログインにも対応しています。JSON ベースの API 定義をスキャンして脆弱性を検出する場合にも利用します。
Burp Intruder	Webアプリケーションに対して、カスタマイズした自動攻撃を実行するための強力なツールです。詳細な設定が可能で、テストをより速く効果的に実施するための数多くのタスクで使用可能です。	試行速度などに制限あるため実用不向き。
Burp Repeater	HTTPやWebSocketのメッセージを手動で修正して何度も送信し、アプリケーションからのレスポンスを分析することができるツールです。例えば、以下のような用途に使用することができます。・入力ベースの脆弱性をテストするために、パラメータ値を変化させたリクエストを送信する。・特定の順序で一連のHTTPリクエストを送信し、複数ステップの処理や、接続状態の操作に依存する脆弱性をテストする。・Burp Scannerから報告された問題を、手動で検証する。
Burp Sequencer	サンプルデータが適切なランダム性を有するかを分析することができます。アプリケーションのセッショントークンや、アンチCSRFトークン、パスワードリセットトークンなどの重要なデータ項目が、意図した通りに予測不可能であることかをテストすることなどが可能です。
Burp Decoder	アプリケーションデータを、手動または賢くデコードやエンコードを行う便利なユーティリティです。
Burp Comparer	類似したHTTPメッセージなど2つのデータ間の、差分を視覚的に表示する便利なユーティリティです。
Burp Logger	Burp Suiteが生成する全てのHTTPトラフィックの記録・分析を行うツールです。Burp Suiteに搭載されている各種ツールや拡張機能から送信されたリクエストを調査したり、Burp Scannerから送信されたリクエストをリアルタイムで見ることなどが可能です。
Burp Inspector	HTTPやWebSocketのメッセージを解析、編集する便利な機能があります。
Burp Collaborator	Burp Suiteが様々な種類の脆弱性を発見するために使用するネットワークサービスです。ブラックボックス型の診断では検出が難しい脆弱性の検出もカバーします。インターネット上に公開されているパブリックCollaboratorサーバーとオンプレミスで構築可能なプライベートCollaboratorサーバーの両方が利用可能です。
Burp Collaboratorクライアント	手動テスト中にBurp Collaboratorを使用するツールです。
DOM Invader	さまざまなソースとシンクを使用してDOM XSS脆弱性を見つけるツールです。Web メッセージとプロトタイプ汚染も検査可能です。
Burp Clickbandit	クリックジャッキング攻撃を生成し、検査するためのツールです。
Burp Infiltrator	対象のWebアプリケーションに一部変更を加えて、安全でないAPIの呼び出しを検出します。※実際に対象アプリケーションに変更を加えるため、本番システムなどへの使用は非推奨です。
Target Analyzer	対象のWebアプリケーションを分析して、対象に含まれる静的ページ・動的ページの数と、各URLが取るパラメータの数を確認することができます。これにより、診断に必要な工数の見積、注力すべきポイントを識別するのが容易になります。
Content discovery	リンクされていないコンテンツなどを発見するための機能です。名前の推測、Web クロール、アプリケーション内で使用されている命名規則からの推測など、さまざまな手法でコンテンツを発見します。
CSRF PoCの生成	与えられたリクエストに対して、クロスサイトリクエストフォージェリ（CSRF）攻撃のためのPoCを生成する機能です。
Manual testing simulator	脆弱性の検出のために利用するための実用的なツールではないものの、手動で診断しているように見せかけるログを、対象のWebアプリケーションサーバーに自動的に残すためのツールです。
BApp	Burp Suiteの拡張プラグイン	一部利用不可	制限なし
タスクのスケジュール	自動化されたタスクの実行を指定した時間に一時停止したり、再開したりすることができる機能です。
プロジェクトファイルの保存	作業内容と構成設定を保持することができます。
検索	対象サイトマップの一部または全部を検索して、コメントやスクリプトを見つけることができます。また、特定のアイテムにリンクしているHTTPレスポンスを、Burpのすべてのツールで検索することができます。
利用可能なサポート	1. ユーザーフォーラム（英語） 2. テクニカルサポート（英語メール） 3. 当社アンカーテクノロジーズによる日本語サポート（有償オプション）	1のみ	1〜3

各機能についてはメーカーのブログ記事においても概要をご確認いただけます。

Burp Suite Professional と Burp Suite Enterprise の違い

Burp Suite Professional と Burp Suite Enterprise の機能の違いは、こちらでご確認いただけます。

Burp Suite Community Edition

無償で利用可能なアプリケーションで、多くの機能が利用可能です。
ただし、前項に揚げる表の通り、一部機能はご利用いただけません。

Burp Suite Communityは、このページでダウンロード可能です。

Burp Suite Professional Edition

無償で使用可能な Community Editionに比べて、柔軟かつ幅広い機能を利用可能です。

▼Burp Suite ProfessionalのUI

▼Burp Scannerを用いた脆弱性スキャン

Burp Suite Enterprise Edition

Burp Suite Enterprise Editionは、Burp Suite Professional Editionの機能を拡張し、診断の自動化を強力にサポートする製品です。

それまでの「手動による診断から、診断の自動化への移行」または「手動による診断とに加えて、診断の自動化も新たに始める」ということを目的に、Burp Suite Professional EditionにBurp Suite Enterprise Editionに移行するケースが多数あります。

（例）ShopifyにおけるBurp Suite ProfessionalからEnterpriseへの移行事例

▼サイト設定

▼スキャンマシン設定

▼スキャンの実施

▼チーム設定

▼CI/CDツールとの連携設定

ライブデモサイトはこちらから。スキャン結果の主要部分のみご確認いただけます。デモサイトではスキャンはできません。

その他製品情報

開発ロードマップはこちらからご確認いただけます。

FAQ

納品はどのように行われますか？

新規購入・更新ともに、原則として電子納品となります（もし、紙などによる納品が必要なお客様は事前にお知らせください）。
当社がメーカーに注文手続きをして数分以内に、送信元：licensing@portswigger.net　より手続き完了の通知メールが届きます。
当社で注文手続きを完了しましたらお客様にお知らせしますので、Portswigger社から届いたメールに記載のアカウントページにログインしてライセンスをご確認ください。アクティベーションキーとインストールソフトウェアをダウンロードすることが可能です。

ログイン後に「Subscription」タブにおいて、「License Key」「Software」をクリックすることで、アクティベーションキーとインストールソフトウェアをそれぞれダウンロード可能です。

2ユーザー以上分を新規に購入いただいたお客様は、”Access for license key holder only” と表示されてダウンロードできません。下図右下の箇所に”Invite your team”と表示されているので、まずはユーザー追加を行います。その後、各ユーザーがダウンロードを行えるようになります。

メーカーWebページもご参考ください。

Burp Suiteのトライアルは可能ですか？

はい、可能です。Burp Suite Professional Edition、Burp Suite Enterprise Edition ともに、30日間ご利用いただけます。ご希望の方はお問い合わせください。
特に、Burp Suite Professional Edition は、通常は一度かつ1ユーザーのみトライアル可能ですが、弊社にご連絡いただいた場合は複数ユーザーがトライアルできるように調整いたします。
また、Burp Suite Enterprise Edition の同時スキャン可能数は、通常 35 です。

なお、メーカーへのトライアル申請のため、以下の情報が必要です。

Burp Suite Professional Edition の場合

ご希望のトライアル開始時期
ご担当者様の氏名（ローマ字）
ご担当者様のメールアドレス（トライアル期間中、メーカーからいくつかのメールが自動で送られます）
ご担当者様の役割（アプリケーションセキュリティの実務者・アプリケーションセキュリティのマネジメント・その他）
ソフトウェアに求める要件（できるだけ詳細に記述してください）
アプリケーションセキュリティにおける経験（初心者・中級・上級）
Burp Suite の使用経験（使用経験がある場合は、Community / Professional のどちらであるか記述してください）

Burp Suite Enterprise Edition の場合

ご希望のトライアル開始時期
ご担当者様の氏名（ローマ字）
ご担当者様のメールアドレス（トライアル期間中、メーカーからいくつかのメールが自動で送られます）
ご担当者様の役割（セキュリティ全般・開発・運用）
トライアルで最も達成したいこと（以下よりご選択ください）
- アプリケーションのスキャンをテストしたい
- 特定の機能や統合をテストしたい
- 使いやすさをテストしたい
- 自分の環境でのデプロイをテストしたい
ソフトウェアに求める要件（できるだけ詳細に記述してください）
アプリケーションセキュリティにおける経験（初心者・中級・上級）
診断対象のアプリケーション数（予定している概算数）
自動診断ソリューションは現在導入済みでしょうか。
構築予定の環境
- 物理サーバー
- クラウド仮想マシン（AWS EC2など）
- Kubernetes
- その他（記述してください）
Burp Suite Enterprise がSaaSで提供されるようになった場合、メーカーからおしらせできるように貴社連絡先をウェイティングリストに追加しますか？

Burp Scanner によって特定された Issue の severity (High, Medium, Low, Informational) の判定基準は何ですか？

メーカー（Portswigger社）独自の基準によって判定されています。

脆弱性名称・CWE・severityなどの対応表が、メーカーサイトに掲載されており、メーカーのリサーチをもとに随時更新されています。

ユーザーの方から妥当性のある異議申し立てがあれば、修正されることもあります。

Burp Suiteの性能をテストしたいです。脆弱なウェブアプリとしてテストに使えるものはありますか？

はい、メーカーが推奨するものとして、ウェブサイトとして公開されているものと、自社環境にデプロイできるオープンソースのウェブアプリの２つがあります。なお、OWASP Benchmark はレガシーなウェブアプリであるため、非推奨です。

ウェブサイトとして公開されているもの：https://vulnerable-website.com/
Portswigger社の研究チームによって開発されたWebサイトです。現実によくある脆弱性が含まれており、あらゆる自動スキャナーをテストできるように設計されています。モダンでJavaScriptを多用し、自動スキャナが効果的にカバーするのが難しい、SPAフロントエンド・コンポーネントも備えています。
ウェブサイトに含まれる脆弱性や認証情報は、こちらのページに掲載されています。
自社環境にデプロイできるオープンソースのウェブアプリ：https://github.com/NeuraLegion/brokencrystals
自社でデプロイする他、公開されているウェブサイトもあります：https://brokencrystals.com/

サードパーティの研究プロジェクトによって作成されたウェブアプリです。自分の環境にデプロイしてソースコードを検査することができます。Swagger APIを備えたReact SPAフロントエンドとNodeJSバックエンドのモダンなウェブアプリです。
ウェブサイトに含まれる脆弱性は、こちらのページに掲載されています。

Burp Suiteを用いて適切なパフォーマンスで稼働させたり、適切な結果を得るために考慮すべき点はありますか。

以下の点を考慮してください。

Burp Suiteをインストールするマシンには、システム要件（Professional Edition、Enterprise Edition）を満たすものをご用意ください。推奨値以下である場合、大きな、または複雑なウェブアプリケーションは、スキャン時に問題が発生することがあります。
CentOS/RHEL v7.xおよびARMアーキテクチャ上で動作するシステムでは問題が発生することを確認しています。これは、Chromium burpブラウザがこれらのシステム上で正しく動作しないためです。
シングルページアプリケーション（SPA）では、いくつかの設定を調整する必要があります。
【参考】https://portswigger.net/burp/documentation/scanner/scanning-spas
対象のウェブアプリケーションがMFA、2FA、CAPTCHA、またはその他の自動化防止ツールを使用している場合、Burp Scannerでは動作しないので、これらを回避する必要があります。
通常、テストアカウントでこの機能を無効にするか、または識別用のクッキーまたはヘッダーを渡して無効にして回避します。

Burp Suite概要