Burp Suite

Burp Suite

Burp Suiteを開発したPortSwigger社のロゴ
開発元	PortSwigger
最新版	2026.3.2[1] / 8 April 2026年 (10日前) (8 April 2026)
プログラミング 言語	Java
対応OS	クロスプラットフォーム
公式サイト	portswigger.net/burp
テンプレートを表示

BurpSuite（バープ・スイート）は、ウェブアプリケーションのセキュリティの評価およびペネトレーションテスト用のプロプライエタリソフトウェアツールである^[2][3]。このツールは、2003年から2006年にかけてDafydd Stuttardによって開発が開始された^[4]。これは、Seleniumのような自動化可能なウェブツールの強みを理解した後に、Dafydd Stuttard自身のセキュリティテストを自動化するためであった^[5]。Stuttardは、Burp Suiteの開発を主力とする企業PortSwiggeを設立した。

このツールは、無償で利用できるコミュニティ版^[6]のほか、有償のProfessional^[7]（475米ドル/ライセンス）及びDAST^[8]がある。 コミュニティ版は、ペネトレーションテスト用のツールであるKali Linuxにも組み込まれている^[9]。

BurpSuiteは、様々なペネトレーションテストに関わる機能を備える。ウェブに接続するときのプロキシ機能（Burp Proxy）^[10]、HTTPリクエスト/レスポンスのログ記録機能（Burp LoggerおよびHTTP History）、転送中のHTTPリクエストのキャプチャ/傍受機能（Burp Intercept）^[11]、および脆弱性のレポートを作成する機能（Burp Scanner）がある^[12]。このソフトウェアは、既知の安全でない構文パターンとキーワードを含む組み込みデータベースを参照し、キャプチャされたHTTPリクエスト/レスポンス内を検索する^[13]。

組み込みのPoCサービスには、HTTPダウングレードのテスト^[14]、ツールがホストする外部サンドボックスサーバーとの連携機能（Burp Collaborator）^[15]、および疑似乱数の強度分析（Burp Sequencer）が含まれる^[16]。このツールは、オープンソースのプラグイン（Java Deserialization Scanner^[17]やAutorize^[18]など）をダウンロードすることで、ユーザーの作成した機能を統合することもできる。

このツールを使って許可なくウェブサーバーや他人の端末を攻撃するなど違法な用途に使用した場合、不正アクセス禁止法によって刑事罰を受ける可能性がある^[19]。

ウェブセキュリティ解析ツールとして、Burp Suiteはペネトレーションテスターがウェブアプリケーションを監査するのを支援するよう設計された機能を提供している。

コミュニティ版

[編集]

BurpSuiteのコミュニティ版には以下の機能が含まれている^[20]。

• Burp ProxyおよびInterceptor:他のウェブアプリケーション・セキュリティ検査ツールと同様に、BurpSuiteの主要な機能の一つは、クライアント側のHTTPリクエストに対するプロキシサーバーとして機能する能力である^[21]。ペネトレーションテスターは、ウェブサーバーのデフォルトHTTPリクエスト変数（属性、ボディパラメータ、クッキー、ヘッダー）をリアルタイムで傍受し、これらの値をその場で編集できる^[22]。アプリケーションの異常な動作を誘発し、バグや関連する脆弱性を特定することを目的として、不適合なデータを注入することができる。
• Burp Site Map:BurpSuiteはZAP (software)（英語版）ソフトウェアと同様に機能し、ターゲットURLのサイトマップを自動または手動のウェブ接続によってキャプチャできる^[23]。ユーザーがウェブアプリケーションでウェブに接続すると、HTTPリクエストはBurpSuiteソフトウェア内のウェブプロキシに送信される。HTTPリクエスト/レスポンスがキャプチャされると、これらのエンドポイントの通信の中身を調査できるようになる。プロフェッショナル版の機能を使用して自動的に監査することもできる。
• Burp LoggerおよびHTTP History:ウェブ接続中にキャプチャされたHTTPリクエスト/レスポンスのリストを保存する（プロフェッショナル版では自動スキャンもできる）^[24][25]。
• Burp Repeater:キャプチャされたHTTPリクエストを繰り返し送信することで、Webアプリケーションの挙動を見つけ出し脆弱性を特定する。定義されたパラメータに従ってHTTPリクエストを返すことができる^[26]。カスタマイズされたHTTPリクエストは素早く連続して送信でき、競合状態の脆弱性を悪用するためにも使用される^[27]。
• Burp Decoder:暗号化されたテキストを自動的に復号する^[28]。デコードされたテキストはその後編集され、再エンコードされることで、ウェブリクエストにおけるカスタマイズ性が強化される。現在、BurpはHTML、URL、BASE64、ASCIIヘックス、ヘックス、オクタル、バイナリ、およびGZIP形式でエンコードおよびデコードできる。BURPの「スマートデコード」は、エンコードされたデータを自動的に検出し、可能な限り再帰的に復号する^[29]。
• Burp Sequencer:繰り返し送信されるHTTPリクエスト全体でアプリケーションが生成するトークン変数を分析し、疑似乱数性の予測強度を判断する。
• Burp Comparer:2つの異なるHTTPリクエストまたはHTTPレスポンス間で発見されたコンテンツを、ユーザーが比較することを可能にする^[30]。
• Burp Extender:下記のBurp Extenderセクションを参照のこと。一部のBurpSuiteプラグインは、プロフェッショナル版に限定されている^[31]。

• Dynamic Application Security Testing
• クローラ
• プロキシ

1. ↑ “Professional / Community 2026.3.2”. 2026年4月17日閲覧.
2. ↑ Rahalkar, Sagar Ajay (2021). A Complete Guide to Burp Suite: Learn to Detect Application Vulnerabilities. Apress. ISBN 978-1-4842-6401-0 
3. ↑ Lozano, Carlos A.; Shah, Dhruv; Walikar, Riyaz Ahemed (2019-02-28). Hands-On Application Penetration Testing with Burp Suite. Packt Publishing. ISBN 9781788995283 
4. ↑ PortSwigger. “About”. PortSwigger. 2024年7月9日閲覧。
5. ↑ PortSwigger (2020年7月9日). “Ask me anything, with Burp Suite creator Dafydd Stuttard”. YouTube. 2020年7月9日閲覧。
6. ↑ “Burp Suite Community Edition”. 2025年7月29日閲覧。
7. ↑ “Burp Suite Professional”. 2025年7月29日閲覧。
8. ↑ “Burp Suite DAST”. 2025年7月29日閲覧。
9. ↑ Master OccupytheWeb (2023). Network Basics for Hackers: How Networks Work and How They Break. Independently published. ISBN 9798373290043 
10. ↑ Rose, Adam (2023年4月21日). “Proxy VM Traffic Through Burp Suite”. FortyNorth Security. 2024年7月9日閲覧。
11. ↑ Setter, Matthew (2017年12月6日). “Introduction to Burp Suite”. Web Dev With Matt. 2017年12月6日閲覧。
12. ↑ Lavish, Zandt. “Intro to Burp Suite Automatic Scanning”. GreatHeart. 2022年7月12日閲覧。
13. ↑ Shelton-Lefley, Tom. “Web Application Cartography: Mapping Out Burp Suite's Crawler”. PortSwigger. 2021年3月5日閲覧。
14. ↑ PortSwigger. “HTTP/2 Normalization in the Message Editor”. PortSwigger. 2024年7月9日閲覧。
15. ↑ Stuttard, Dafydd. “Introducing Burp Collaborator”. PortSwigger. 2015年4月16日閲覧。
16. ↑ Stuttard, Dafydd. “Introducing Burp Sequencer”. PortSwigger. 2007年10月21日閲覧。
17. ↑ “Java Deserialization Scanner”. GitHub. 2024年7月9日閲覧。
18. ↑ “Autorize”. GitHub. 2024年7月9日閲覧。
19. ↑ [https://laws.e-gov.go.jp/law/411AC0000000128/ e-GOV 法令検索「平成十一年法律第百二十八号 不正アクセス行為の禁止等に関する法律」
20. ↑ “"Burp Suite : Home page"” (英語). portswigger.net. 2016年2月24日閲覧。
21. ↑ PortSwigger. “Proxy”. PortSwigger. 2024年7月9日閲覧。
22. ↑ Setter, Matthew (2018年2月9日). “How to Intercept Requests and Modify Responses With Burp Suite”. YouTube. 2018年2月9日閲覧。
23. ↑ PortSwigger. “Full Crawl and Audit”. PortSwigger. 2024年7月9日閲覧。
24. ↑ Aggarwal, Sahil (2023年1月11日). “BurpSuite Logger Secrets for Pentesters”. CertCube Blog. 2023年1月11日閲覧。
25. ↑ Pradeep. “Filtering Burp Suite HTTP History”. Study Tonight. 2023年6月2日閲覧。
26. ↑ TryHackMe. “Burp Suite Repeater”. TryHackMe. 2024年7月9日閲覧。
27. ↑ “Race Conditions”. PortSwigger. 2026年4月12日閲覧。
28. ↑ Chandel, Raj (2018年1月24日). “BurpSuite Encoder Decoder Tutorial”. Hacking Articles. 2018年1月24日閲覧。
29. ↑ “Burp Decoder”. PortSwigger (2024年12月19日). 2026年4月12日閲覧。
30. ↑ Salame, Walid (2024年4月9日). “How to Use Burp Decoder”. KaliTut. 2024年4月9日閲覧。
31. ↑ PortSwigger. “Installing Extensions”. PortSwigger. 2024年7月9日閲覧。
32. ↑ PortSwigger. “Dashboard”. PortSwigger. 2024年7月9日閲覧。
33. ↑ PortSwigger. “Vulnerabilities List”. PortSwigger. 2024年7月9日閲覧。
34. ↑ FireCompass (2023年10月31日). “Mastering Burp Intruder Attack Modes”. FireCompass Blog. 2023年10月31日閲覧。
35. ↑ OccupyTheWeb. “Web App Hacking: Online Password Cracking with Burp Suite (Web App Authentication)” (英語). Hackers-Arise. 2026年4月12日閲覧。
36. ↑ PortSwigger. “OAST”. PortSwigger. 2024年7月9日閲覧。
37. ↑ PortSwigger. “Organizer”. PortSwigger. 2024年7月9日閲覧。
38. ↑ Stuttard, Dafydd. “Introducing Burp Infiltrator”. PortSwigger. 2016年7月26日閲覧。
39. ↑ Roof, Zach. “Learn Clickjacking With Burp Suite”. Teachable. 2024年7月9日閲覧。
40. ↑ PortSwigger. “Manage Project Files”. PortSwigger. 2024年7月9日閲覧。
41. ↑ PortSwigger. “BApp Store”. PortSwigger. 2024年7月9日閲覧。
42. ↑ PortSwigger. “Creating Extensions”. PortSwigger. 2024年7月9日閲覧。
43. ↑ “Burp Extensions Montoya API”. GitHub. 2024年7月9日閲覧。
44. ↑ “TryHackMe Burp Suite Extensions”. Medium. 2024年3月21日閲覧。
45. ↑ PortSwigger. “Research”. PortSwigger. 2024年7月9日閲覧。
46. ↑ “Backslash Powered Scanner”. GitHub. 2024年7月9日閲覧。
47. ↑ Kettle, James. “Backslash Powered Scanning: hunting unknown vulnerability classes”. PortSwigger Research. 2016年11月4日閲覧。
48. ↑ “Param Miner”. GitHub. 2024年7月9日閲覧。
49. ↑ Kettle, James. “Practical Web Cache Poisoning”. PortSwigger Research. 2018年9月9日閲覧。
50. ↑ “HTTP Request Smuggler”. GitHub. 2024年7月9日閲覧。
51. ↑ Kettle, James. “HTTP Desync Attacks: Request Smuggling Reborn”. PortSwigger Research. 2019年9月7日閲覧。
52. ↑ PortSwigger. “Professional Community 2023.6”. PortSwigger. 2024年7月9日閲覧。
53. ↑ “Use BCheck to Improve Vulnerability Scanning”. YesWeHack. 2023年9月1日閲覧。
54. ↑ “BChecks”. GitHub. 2024年7月9日閲覧。
55. ↑ Stocks, Emma. “Introducing Bambdas”. PortSwigger. 2023年11月14日閲覧。
56. ↑ “Bambdas”. GitHub. 2024年7月9日閲覧。

• 公式ウェブサイト