HTTP Anomaly Rank の紹介：大量のHTTPレスポンスから“違和感”を素早く見つける発想

本記事は、PortSwigger Research の「Introducing HTTP Anomaly Rank」を元ソースとしてまとめたものです。また補足として、同サイトの研究ページ一覧および関連研究記事、ならびに SOC Defenders による要約ページを参照しています。

概要

Burp Intruder や Turbo Intruder を使うと、ターゲットに対して大量のリクエストを投げ、その結果として膨大なHTTPレスポンスが手元に集まります。元ソースは、その後に待ち受ける作業として「テーブルをレスポンス長などで何度もソートし、何千件ものレスポンスを手で掘り返す」ような手動の選別が“儀式”的に行われがちだ、と問題提起します。

そこで紹介されるのが HTTP Anomaly Rank です。これは、大量のHTTPレスポンスの中から“いつもと違う（異常・違和感のある）もの”を見つけるために、解析作業を効率化するランキングの考え方（アルゴリズム）として提示されています。SOC Defenders の要約でも、セキュリティ調査におけるHTTPレスポンス分析を効率化するためのアルゴリズムである旨が述べられています。

詳細

元ソースが描く現場感は、脆弱性探索や挙動差分の調査でよく遭遇する状況そのものです。つまり「数が多すぎて、全件を同じ密度で目視できない」という制約が先にあり、その結果として“とりあえず長さ順”“とりあえずステータス順”といった単純な並べ替えを繰り返し、目に付いた外れ値を拾う流れになりやすい、という点です。

HTTP Anomaly Rank は、この“外れ値探し”をより体系的に支援する狙いで紹介されています。ここで重要なのは、何か一つの指標（例：レスポンスサイズ）だけに依存して機械的に上位を出す、というよりも、大量のレスポンスから「違和感があるものを優先的に見にいける順番」を作るという発想に価値があることです。手動の掘り起こし作業がボトルネックになっている場合、優先順位付けの質が上がるだけで、同じ時間でも“見つかる確率”や“見落としのリスク”が変わり得ます。

また、PortSwigger Research は Burp Suite を取り巻く実践的なWebセキュリティ研究を継続的に公開しており、研究ページには複数のテーマの記事が並びます。今回のHTTP Anomaly Rank も、その流れの中で「実務ツール上の大量データ処理」という課題に焦点を当てたものとして位置付けられます。たとえば同研究セクション内には、別テーマ（HTTPヘッダの扱い、特定のプロトコル上の脅威、Burp拡張的な話題など）を扱う記事が公開されており、調査・検証の現場で生じる“次の一手”を後押しする方向性が共通しています。

実務での読み替えとしては、HTTP Anomaly Rank のようなアプローチは「結果一覧の中で、まず何を確認すべきか」を決めるレイヤに効きます。大量のレスポンスが出る状況は、正常系の応答が大多数であることも多く、真に価値のある差分は少数に埋もれがちです。そこで“違和感の優先順位”を用意できると、探索の起点（最初に見るべき候補）を作りやすくなります。元ソースが示す課題感——手作業での掘り起こしが儀式化している——は、まさにこの起点づくりが不足している状態を指していると言えます。