Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2024/9/21ハンズオン事前準備資料
Search
Adachi Tomohiro
September 14, 2024
0
110
2024/9/21ハンズオン事前準備資料
「OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜」でのハンズオン「GraphQLを使ったWebアプリを攻めの視点から覗いてみる」の事前準備資料です。
Adachi Tomohiro
September 14, 2024
Tweet
Share
More Decks by Adachi Tomohiro
See All by Adachi Tomohiro
テストツールで覗いてみる、log4jの世界
adachi
0
770
CMSでのXSStoRCEを触ってみた
adachi
0
110
Featured
See All Featured
Reflections from 52 weeks, 52 projects
jeffersonlam
355
21k
Principles of Awesome APIs and How to Build Them.
keavy
127
17k
Rails Girls Zürich Keynote
gr2m
95
14k
[SF Ruby Conf 2025] Rails X
palkan
0
510
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.6k
What's in a price? How to price your products and services
michaelherold
246
13k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
7.9k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.5k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.6k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
970
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Art, The Web, and Tiny UX
lynnandtonic
303
21k
Transcript
2024/9/21ハンズオン 事前準備の⼿順
Burpのインストール① https://portswigger.net/burp/communitydownload 2 下記のURLにアクセス後、 「Go straight to downloads」を クリックします。
Burpのインストール② 3 「Download」をクリックします。 ダウンロード後、インストーラを 実⾏します。 インストール後、Burp Suiteを起 動します。
Burpのセットアップ① 4 Community版の場合、Projectの 作成が⾏えないため、起動毎に セットアップが必要です。 Burpの起動後、「Next」をクリッ クします。
Burpのセットアップ② 5 「Choose file..」をクリックし、 配布の「20240921.json」を選択 します。 その後、「Start Burp」をクリッ クします。 ※「20240921.json」は以下の
「burp-setting」内に配置して います。 https://github.com/att4tt/BadT hread
Burpのセットアップ③ 6 「Live passive~」を無効にします。
Burpのセットアップ④ 7 「Proxy」タブを選択後、 「Intercept on」をクリックし、 「Intercept off」に変更(無効 化)します。
Burpのセットアップ⑤ 8 「Open browser」をクリックしま す。
Burpのセットアップ⑥ 9 起動したChromium上より、 「http://127.0.0.1」へアクセス します。 ※事前に、配布したハンズオン⽤ のWebアプリ「Bad Thread」を起 動しておく必要があります。
Burpのセットアップ⑦ 10 ハンズオン⽤のWebアプリが表⽰ されることを確認します。
Burpのセットアップ⑧ 11 Burpの「Proxy」タブ内の「HTTP history」タブを選択します。 ハンズオンアプリへのHTTPリクエ ストのログが表⽰されることを確 認します。 以上でBurpのセットアップは完了 です。
Burpの基本操作① 12 ハンズオンの中では、主に「Repe ater」の機能を使⽤します。 これはBurp上から、任意のリクエ ストを送信(再送)を⾏うことが できる機能です。 ⼀例として、Burpの「Proxy」タ ブ内の「HTTP history」タブに表
⽰されたHostが「http://127.0.0. 1」のログを選択します。 ※ハンズオン環境以外にリクエストを⾶ばさないために、 必ずHostが「http://127.0.0.1(:8888)」のログを選択してください
Burpの基本操作② 13 表⽰されたリクエストの⾚枠内で 右クリック→「Send to Repeate r」をクリックします。
Burpの基本操作③ 14 「Send」をクリックすることで、 対象のリクエストをBurp上から直 接送信(再送)することが可能で す。 Repeaterから送信するリクエスト は、必ずハンズオン環境(127.0. 0.1)のリクエストのみとしてくだ さい。
Burpの基本操作④ 15 「GraphQL」タブをクリックする ことで、リクエスト内のクエリの 内容を確認・編集することが可能 です。
GraphQL Voyagerの導⼊ 16 スキーマ情報の可視化に使⽤するツールです。 ローカルで実⾏する場合は、以下より導⼊してください。 • https://github.com/graphql-kit/graphql-voyager 以下より、オンラインのデモ版も利⽤可能です。 • https://graphql-kit.com/graphql-voyager/
clone後のコマンド例(「 npm install」「npm run」は初回のみ実⾏) $ npm install && npm run build:release $ npm start 「https:127.0.0.1:9090」へアクセス
adachi
jeffersonlam
keavy
gr2m
palkan
bcantrill
michaelherold
eileencodes
jcasabona
marktimemedia
tammyeverts
marcelosomers
lynnandtonic
