jpskill.com
🛠️ 開発・MCP コミュニティ

burp-suite

Burp Suiteを使って、WebアプリケーションのHTTP通信を傍受したり、脆弱性を検査したり、APIのエンドポイントをテストしたりするなど、Webアプリケーションのセキュリティに関する様々なテストを支援するSkill。

📜 元の英語説明(参考)

Test web application security with Burp Suite. Use when a user asks to intercept HTTP traffic, test for web vulnerabilities, fuzz API endpoints, analyze authentication flows, or perform manual web application pentesting.

🇯🇵 日本人クリエイター向け解説

一言でいうと

Burp Suiteを使って、WebアプリケーションのHTTP通信を傍受したり、脆弱性を検査したり、APIのエンドポイントをテストしたりするなど、Webアプリケーションのセキュリティに関する様々なテストを支援するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o burp-suite.zip https://jpskill.com/download/14711.zip && unzip -o burp-suite.zip && rm burp-suite.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/14711.zip -OutFile "$d\burp-suite.zip"; Expand-Archive "$d\burp-suite.zip" -DestinationPath $d -Force; ri "$d\burp-suite.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して burp-suite.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → burp-suite フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Burp Suite

概要

Burp Suite は、標準的なウェブアプリケーションセキュリティテストプラットフォームです。その傍受プロキシは、ブラウザとサーバー間の HTTP/HTTPS トラフィックをキャプチャし、変更します。スキャナー(自動脆弱性検出)、Intruder(パラメータファジング)、Repeater(手動リクエスト変更)、Sequencer(トークンランダム性分析)、および Decoder(エンコード/デコード)が含まれます。Community Edition は無料です。Professional はスキャナーと高度な機能を追加します。

手順

ステップ 1: プロキシの設定とトラフィックの傍受

1. Burp Suite を起動 → Proxy タブ → Intercept is On
2. ブラウザのプロキシを設定: 127.0.0.1:8080
3. HTTPS 傍受のために Burp CA 証明書をインストール:
   - http://burpsuite を参照
   - CA 証明書をダウンロード
   - ブラウザのトラストストアにインポート

4. 対象のアプリケーションを通常どおりに参照
   → Burp が HTTP History にすべてのリクエストをキャプチャ
   → サイトマップがクロールされたページから自動的に構築
# Proxy → HTTP History には、キャプチャされたすべてのリクエストが表示されます:
# Method  URL                              Status  Length
# GET     /api/v1/users/me                 200     1,247
# GET     /api/v1/projects                 200     8,432
# POST    /api/v1/projects                 201     523
# GET     /api/v1/projects/123/tasks       200     15,891
# PUT     /api/v1/tasks/456                200     312
# DELETE  /api/v1/tasks/789                403     89

# いずれかのリクエストを右クリック → Send to Repeater / Intruder / Scanner

ステップ 2: Repeater — 手動テスト

# リクエストを Repeater に送信して、手動で変更および再送信

# IDOR をテスト: リクエスト内のユーザー ID を変更
GET /api/v1/users/123/profile HTTP/1.1
→ 次のように変更: GET /api/v1/users/124/profile HTTP/1.1
→ 異なるユーザーのデータで 200 OK の場合 → IDOR 脆弱性

# 権限昇格をテスト: 管理者エンドポイントで通常のユーザーのトークンを使用
GET /api/v1/admin/users HTTP/1.1
Authorization: Bearer <regular-user-token>
→ 200 OK の場合 → 不適切なアクセス制御

# 入力検証をテスト: ペイロードをインジェクト
POST /api/v1/search HTTP/1.1
Content-Type: application/json

{"query": "' OR 1=1--", "limit": 10}
→ 異なるレスポンスの場合 → SQL インジェクションの可能性

{"query": "<script>alert(1)</script>"}
→ レスポンスに反映される場合 → XSS の可能性

ステップ 3: Intruder — 自動ファジング

# リクエストを Intruder に送信 → § でインジェクションポイントをマーク

# IDOR 列挙: ユーザー ID をファジング
GET /api/v1/users/§1§/transactions HTTP/1.1
→ ペイロード: 数字 1-1000
→ フィルター: ステータス 200 で長さが異なるレスポンス
→ すべての 200 = アクセス可能なユーザーのトランザクション

# ディレクトリブルートフォース
GET /§admin§/ HTTP/1.1
→ ペイロード: ワードリスト (common-dirs.txt)
→ フィルター: status != 404

# クレデンシャルスタッフィング (承認されたテストのみ)
POST /api/v1/auth/login HTTP/1.1
{"email": "§user@example.com§", "password": "§password123§"}
→ ペイロードタイプ: Pitchfork (並列リスト)
→ ペイロード 1: メールリスト、ペイロード 2: パスワードリスト
→ フィルター: ステータス 200 または異なるレスポンス長

# インジェクションのためのパラメータファジング
POST /api/v1/products HTTP/1.1
{"name": "§test§", "category": "electronics"}
→ ペイロード: SQL/XSS/SSTI ファジングワードリスト
→ モニター: レスポンス時間 (time-blind)、エラー (error-based)、コンテンツの変更

ステップ 4: スキャナー (Professional Edition)

# アクティブスキャンは自動的にクロールしてテストします
# Target → 右クリック → Scan

# スキャナーは以下をチェックします:
# - SQL injection (すべてのテクニック)
# - Cross-site scripting (reflected, stored, DOM)
# - Server-side request forgery (SSRF)
# - Server-side template injection (SSTI)
# - XML external entity injection (XXE)
# - Path traversal
# - OS command injection
# - Authentication flaws
# - Session management issues
# - Information disclosure

# 承認されたターゲット内に留まるようにスキャンスコープを設定:
# Target → Scope → Include: *.target.example.com

ステップ 5: Burp 拡張機能による自動化

# BApp Store 拡張機能 (ペンテストに不可欠):

# Autorize — 自動認証テスト
# 異なるユーザーのセッションですべてのリクエストをテスト
# IDOR と権限昇格を自動的に検出

# Logger++ — フィルターを使用した高度なリクエストロギング
# 正規表現、レスポンスコード、コンテンツタイプでフィルタリング

# Param Miner — 隠されたパラメータを発見
# 入力を受け入れるリンクされていないパラメータを検出

# Turbo Intruder — 高速ファジング (Python スクリプト)
# 組み込みの Intruder より 10〜100 倍高速

# JWT Editor — JWT トークンのデコード、変更、および偽造
# テスト: アルゴリズムの混乱、期限切れのトークン、署名のバイパス

# Hackvertor — リクエスト内でインラインでエンコード/デコード
# エンコードをネスト: <@base64><@url>payload<@/url><@/base64>

ステップ 6: レポート作成のためのエクスポート

# 調査結果をエクスポート:
# Target → Issues → 右クリック → Report selected issues
# フォーマット: HTML または XML
# 含まれるもの: 重大度、信頼度、証拠、修復

# sqlmap またはその他のツール用にリクエストをエクスポート:
# リクエストを右クリック → Copy to file → Save as .txt
# sqlmap -r saved-request.txt --batch

# ドキュメント用のサイトマップをエクスポート:
# Target → Site map → 右クリック → Save selected items

ガイドライン

  • プロキシのスコープを設定 — 承認されたターゲットへのトラフィックのみを傍受します。サードパーティのドメインを除外します。
  • Repeater は手動テストに最適です — 一度に 1 つのパラメータを変更し、レスポンスを観察します。
  • ワードリストを使用した Intruder は、手動テストよりも高速に IDOR、ディレクトリトラバーサル、およびインジェクションポイントを検出します。
  • 常に認証を確認してください: 管理者エンドポイントに通常のユーザーリクエストを送信します (Autorize 拡張機能でテスト)。
  • Burp プロジェクトを頻繁に保存してください — 4 時間のテストセッションを失うのは苦痛です。
  • 認証されたスキャンにマクロを使用します — セッションの有効期限が切れたときに自動ログインするようにセッション処理ルールを設定します。
  • Burp Scanner は誤検知を生成します — レポートする前に、常に手動で調査結果を確認してください。
  • sqlmap と組み合わせる: ターゲットを絞ったインジェクションテストのために、Burp から正確なリクエストをエクスポートします (-r request.txt)。
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Burp Suite

Overview

Burp Suite is the standard web application security testing platform. Its intercepting proxy captures and modifies HTTP/HTTPS traffic between browser and server. Includes: Scanner (automated vulnerability detection), Intruder (parameter fuzzing), Repeater (manual request modification), Sequencer (token randomness analysis), and Decoder (encoding/decoding). Community Edition is free; Professional adds the scanner and advanced features.

Instructions

Step 1: Proxy Setup and Traffic Interception

1. Start Burp Suite → Proxy tab → Intercept is On
2. Configure browser proxy: 127.0.0.1:8080
3. Install Burp CA certificate for HTTPS interception:
   - Browse to http://burpsuite
   - Download CA certificate
   - Import into browser trust store

4. Browse the target application normally
   → Burp captures every request in HTTP History
   → Site map builds automatically from crawled pages
# Proxy → HTTP History shows all captured requests:
# Method  URL                              Status  Length
# GET     /api/v1/users/me                 200     1,247
# GET     /api/v1/projects                 200     8,432
# POST    /api/v1/projects                 201     523
# GET     /api/v1/projects/123/tasks       200     15,891
# PUT     /api/v1/tasks/456                200     312
# DELETE  /api/v1/tasks/789                403     89

# Right-click any request → Send to Repeater / Intruder / Scanner

Step 2: Repeater — Manual Testing

# Send a request to Repeater to modify and resend manually

# Test IDOR: Change user ID in the request
GET /api/v1/users/123/profile HTTP/1.1
→ Change to: GET /api/v1/users/124/profile HTTP/1.1
→ If 200 OK with different user's data → IDOR vulnerability

# Test privilege escalation: Use regular user token on admin endpoint
GET /api/v1/admin/users HTTP/1.1
Authorization: Bearer <regular-user-token>
→ If 200 OK → Broken access control

# Test input validation: Inject payloads
POST /api/v1/search HTTP/1.1
Content-Type: application/json

{"query": "' OR 1=1--", "limit": 10}
→ If different response → possible SQL injection

{"query": "<script>alert(1)</script>"}
→ If reflected in response → possible XSS

Step 3: Intruder — Automated Fuzzing

# Send request to Intruder → mark injection points with §

# IDOR enumeration: Fuzz user IDs
GET /api/v1/users/§1§/transactions HTTP/1.1
→ Payload: Numbers 1-1000
→ Filter: responses with status 200 and different lengths
→ Every 200 = accessible user's transactions

# Directory brute force
GET /§admin§/ HTTP/1.1
→ Payload: wordlist (common-dirs.txt)
→ Filter: status != 404

# Credential stuffing (authorized testing only)
POST /api/v1/auth/login HTTP/1.1
{"email": "§user@example.com§", "password": "§password123§"}
→ Payload type: Pitchfork (parallel lists)
→ Payload 1: email list, Payload 2: password list
→ Filter: status 200 or different response length

# Parameter fuzzing for injection
POST /api/v1/products HTTP/1.1
{"name": "§test§", "category": "electronics"}
→ Payload: SQL/XSS/SSTI fuzzing wordlist
→ Monitor: response time (time-blind), errors (error-based), content changes

Step 4: Scanner (Professional Edition)

# Active scan crawls and tests automatically
# Target → Right-click → Scan

# Scanner checks for:
# - SQL injection (all techniques)
# - Cross-site scripting (reflected, stored, DOM)
# - Server-side request forgery (SSRF)
# - Server-side template injection (SSTI)
# - XML external entity injection (XXE)
# - Path traversal
# - OS command injection
# - Authentication flaws
# - Session management issues
# - Information disclosure

# Configure scan scope to stay within authorized targets:
# Target → Scope → Include: *.target.example.com

Step 5: Automation with Burp Extensions

# BApp Store extensions (essential for pentesting):

# Autorize — automatic authorization testing
# Tests every request with a different user's session
# Finds IDOR and privilege escalation automatically

# Logger++ — advanced request logging with filters
# Filter by regex, response codes, content types

# Param Miner — discovers hidden parameters
# Finds unlinked parameters that accept input

# Turbo Intruder — high-speed fuzzing (Python scripted)
# 10-100x faster than built-in Intruder

# JWT Editor — decode, modify, and forge JWT tokens
# Test: algorithm confusion, expired tokens, signature bypass

# Hackvertor — encoding/decoding in-line within requests
# Nest encodings: <@base64><@url>payload<@/url><@/base64>

Step 6: Export for Reporting

# Export findings:
# Target → Issues → Right-click → Report selected issues
# Format: HTML or XML
# Includes: severity, confidence, evidence, remediation

# Export requests for sqlmap or other tools:
# Right-click request → Copy to file → Save as .txt
# sqlmap -r saved-request.txt --batch

# Export sitemap for documentation:
# Target → Site map → Right-click → Save selected items

Guidelines

  • Scope your proxy — only intercept traffic to authorized targets. Exclude third-party domains.
  • Repeater is your best friend for manual testing — modify one parameter at a time and observe responses.
  • Intruder with wordlists finds IDOR, directory traversal, and injection points faster than manual testing.
  • Always check authorization: send regular-user requests to admin endpoints (test with Autorize extension).
  • Save your Burp project frequently — losing a 4-hour testing session is painful.
  • Use macros for authenticated scanning — configure session handling rules to auto-login when session expires.
  • Burp Scanner produces false positives — always manually verify findings before reporting.
  • Combine with sqlmap: export the exact request from Burp (-r request.txt) for targeted injection testing.