LabEx
ログイン登録

Firefox に Burp CA 証明書をインストールする

Beginner
オンラインで実践に進む

はじめに

Burp Suite は、Web アプリケーションのセキュリティテストに使用される強力なプロキシツールです。ブラウザとターゲットの Web サーバーの間に配置され、双方向のトラフィックを傍受、検査、および変更することができます。

暗号化されている HTTPS トラフィックを検査するために、Burp Suite は自身のトラフィックに対して中間者攻撃(Man-in-the-Middle: MitM)を実行する必要があります。これは、サーバーからの TLS 接続を切断し、ブラウザとの間に新しい接続を確立することによって行われます。ブラウザがセキュリティ警告なしでこの新しい接続を受け入れるためには、Burp Suite が提示する証明書を信頼する必要があります。

この実験(Lab)では、Burp Suite のユニークな認証局(CA)証明書をダウンロードし、Firefox ブラウザにインストールする方法を学びます。これは、セキュリティテストのために Burp Suite を使用したい人にとって基本的なセットアップ手順です。

設定されたブラウザで http://burpsuite にアクセスする

このステップでは、Burp Suite と Firefox を起動し、証明書のダウンロードページにアクセスするために Burp Suite の特別な URL にアクセスします。この実験(Lab)環境の Firefox は、Burp Suite をプロキシとして使用するように事前に設定されています。

まず、Burp Suite を起動する必要があります。

  1. デスクトップの左上にある「Applications」メニューをクリックします。
  2. 「Other」に移動し、「Burp Suite Community Edition」を選択します。
  3. ダイアログボックスが表示されます。デフォルト設定(「Temporary project」)のまま、「Next」をクリックします。
  4. 別のダイアログボックスが表示されます。「Start Burp」をクリックします。

Burp Suite が実行されたら、Firefox ブラウザを開きます。

  1. 画面下部にあるアプリケーションドックの Firefox アイコンをクリックします。

両方のアプリケーションが実行されたら、Firefox で新しいタブを開き、アドレスバーに次のアドレスを入力して Enter キーを押します。

http://burpsuite

Burp Suite のウェルカムページが表示されるはずです。このページは Burp Suite プロキシから直接提供されており、ブラウザが正しく設定されて使用されている場合にのみアクセスできます。

CA 証明書ファイルをダウンロードする

このステップでは、先ほど開いたウェルカムページから Burp CA 証明書ファイルをダウンロードします。

http://burpsuite のページで、右上隅に「CA Certificate」というラベルのリンクが表示されます。

  1. CA Certificate リンクをクリックします。
  2. ファイルのダウンロードダイアログが表示されます。Firefox がファイルに対して何を行うか尋ねてきます。
  3. 「Save File」オプションが選択されていることを確認し、「OK」をクリックします。

ブラウザは cacert.der という名前のファイルをダウンロードします。デフォルトでは、このファイルは Downloads ディレクトリ(/home/labex/Downloads にあります)に保存されます。次のステップでこのファイルが必要になります。

Firefox 証明書マネージャーを開く

このステップでは、Firefox の設定を操作して証明書マネージャーを開きます。ここには Firefox が信頼するすべての証明書が保存されています。

Firefox ブラウザ内で、以下の手順を注意深く実行してください。

  1. Firefox ウィンドウの右上隅にあるアプリケーションメニューボタン(横三本線)をクリックします。
  2. ドロップダウンメニューから Settings を選択します。
  3. 開いた Settings タブで、左側のナビゲーションペインにある Privacy & Security をクリックします。
  4. ページの一番下までスクロールし、「Certificates」セクションを見つけます。
  5. View Certificates... ボタンをクリックします。

これにより、「Certificate Manager」ウィンドウが開きます。このウィンドウには、「Your Certificates」、「People」、「Servers」、「Authorities」などのタブがあります。

ダウンロードした証明書を「Authorities」タブにインポートする

このステップでは、先ほどダウンロードした cacert.der ファイルをインポートします。この証明書は認証局(CA)として機能するため、「Authorities」タブにインポートする必要があります。

前のステップで開いた「Certificate Manager」ウィンドウで、以下の操作を行います。

  1. Authorities タブが選択されていることを確認します。
  2. ウィンドウ下部にある Import... ボタンをクリックします。
  3. 「Open File」ダイアログが表示されます。デフォルトでは ~/project ディレクトリが開く場合があります。証明書が保存されている Downloads ディレクトリに移動する必要があります。左ペインで Downloads をクリックします。
  4. cacert.der ファイルを選択します。
  5. Open ボタンをクリックします。

「Open」をクリックすると、新しいダイアログボックスが表示され、この証明書の信頼レベルを設定するように求められます。これは次のステップで設定します。

ウェブサイトのために PortSwigger CA を信頼する

これは最終的かつ最も重要なステップです。インポートした証明書をウェブサイトの識別に使用することを Firefox に明示的に伝える必要があります。これにより、ブラウザエラーを引き起こすことなく、Burp Suite が HTTPS トラフィックをインターセプトできるようになります。

前のステップで cacert.der ファイルを選択した後、「Downloading Certificate」というタイトルのダイアログボックスが表示されます。「PortSwigger CA」の信頼設定を行うように求められます。

  1. このダイアログボックスで、「Trust this CA to identify websites」の横にあるチェックボックスをオンにします。
  2. もう一方のチェックボックス(「Trust this CA to identify email users」)はオフのままにします。
  3. OK ボタンをクリックして、信頼設定を保存します。

これで証明書がインストールされました。証明書マネージャーの「Authorities」タブに、「PortSwigger」が認証局としてリストされているはずです。

  1. OK をクリックして、証明書マネージャーウィンドウを閉じます。
  2. これで Firefox の設定タブを閉じることができます。

Burp CA 証明書のインストールは完了しました!

まとめ

この実験では、Burp Suite を使用するための重要なセットアップタスクを完了しました。Burp Suite を正常に起動し、Firefox を使用してその固有の CA 証明書をダウンロードし、その証明書をブラウザの信頼ストアにインポートしました。

PortSwigger CA を信頼することにより、Firefox が Burp Suite を中間者として機能することを許可するように設定しました。これにより、セキュリティテストの目的で、暗号化された HTTPS トラフィックをインターセプト、表示、および変更できるようになります。このスキルは、Web アプリケーションセキュリティに取り組むすべての人にとって基本的です。実験の完了おめでとうございます!