2024/9/21ハンズオン事前準備資料

Transcript

1. 2024/9/21ハンズオン 事前準備の⼿順

2. Burpのインストール① https://portswigger.net/burp/communitydownload 2 下記のURLにアクセス後、 「Go straight to downloads」を クリックします。

3. Burpのインストール② 3 「Download」をクリックします。 ダウンロード後、インストーラを 実⾏します。 インストール後、Burp Suiteを起 動します。

4. Burpのセットアップ① 4 Community版の場合、Projectの 作成が⾏えないため、起動毎に セットアップが必要です。 Burpの起動後、「Next」をクリッ クします。

5. Burpのセットアップ② 5 「Choose file..」をクリックし、 配布の「20240921.json」を選択 します。 その後、「Start Burp」をクリッ クします。 ※「20240921.json」は以下の

   「burp-setting」内に配置して います。 https://github.com/att4tt/BadT hread

6. Burpのセットアップ③ 6 「Live passive~」を無効にします。

7. Burpのセットアップ④ 7 「Proxy」タブを選択後、 「Intercept on」をクリックし、 「Intercept off」に変更（無効 化）します。

8. Burpのセットアップ⑤ 8 「Open browser」をクリックしま す。

9. Burpのセットアップ⑥ 9 起動したChromium上より、 「http://127.0.0.1」へアクセス します。 ※事前に、配布したハンズオン⽤ のWebアプリ「Bad Thread」を起 動しておく必要があります。

10. Burpのセットアップ⑦ 10 ハンズオン⽤のWebアプリが表⽰ されることを確認します。

11. Burpのセットアップ⑧ 11 Burpの「Proxy」タブ内の「HTTP history」タブを選択します。 ハンズオンアプリへのHTTPリクエ ストのログが表⽰されることを確 認します。 以上でBurpのセットアップは完了 です。

12. Burpの基本操作① 12 ハンズオンの中では、主に「Repe ater」の機能を使⽤します。 これはBurp上から、任意のリクエ ストを送信（再送）を⾏うことが できる機能です。 ⼀例として、Burpの「Proxy」タ ブ内の「HTTP history」タブに表

    ⽰されたHostが「http://127.0.0. 1」のログを選択します。 ※ハンズオン環境以外にリクエストを⾶ばさないために、 必ずHostが「http://127.0.0.1（:8888）」のログを選択してください

13. Burpの基本操作② 13 表⽰されたリクエストの⾚枠内で 右クリック→「Send to Repeate r」をクリックします。

14. Burpの基本操作③ 14 「Send」をクリックすることで、 対象のリクエストをBurp上から直 接送信（再送）することが可能で す。 Repeaterから送信するリクエスト は、必ずハンズオン環境（127.0. 0.1）のリクエストのみとしてくだ さい。

15. Burpの基本操作④ 15 「GraphQL」タブをクリックする ことで、リクエスト内のクエリの 内容を確認・編集することが可能 です。

16. GraphQL Voyagerの導⼊ 16 スキーマ情報の可視化に使⽤するツールです。 ローカルで実⾏する場合は、以下より導⼊してください。 • https://github.com/graphql-kit/graphql-voyager 以下より、オンラインのデモ版も利⽤可能です。 • https://graphql-kit.com/graphql-voyager/

    clone後のコマンド例（「 npm install」「npm run」は初回のみ実⾏） $ npm install && npm run build:release $ npm start 「https:127.0.0.1:9090」へアクセス