Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2024/9/21ハンズオン事前準備資料

Avatar for Adachi Tomohiro Adachi Tomohiro
September 14, 2024
120
0

 2024/9/21ハンズオン事前準備資料

「OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜」でのハンズオン「GraphQLを使ったWebアプリを攻めの視点から覗いてみる」の事前準備資料です。

Avatar for Adachi Tomohiro

Adachi Tomohiro

September 14, 2024

More Decks by Adachi Tomohiro

See All by Adachi Tomohiro
テストツールで覗いてみる、log4jの世界
Avatar for Adachi Tomohiro adachi
0
780
CMSでのXSStoRCEを触ってみた
Avatar for Adachi Tomohiro adachi
0
110

Featured

See All Featured
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
110
Game over? The fight for quality and originality in the time of robots
Avatar for Wayne Barker wayneb77
1
150
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
350
Leo the Paperboy
Avatar for Maya Tellez mayatellez
6
1.6k
Un-Boring Meetings
Avatar for Sebastian Deterding codingconduct
0
250
Kristin Tynski - Automating Marketing Tasks With AI
Avatar for Tech SEO Connect techseoconnect
PRO
0
210
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Docker and Python
Avatar for Tania Allard trallard
47
3.8k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
180
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
190
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.1k
The #1 spot is gone: here's how to win anyway
Avatar for Tamara Novitovic tamaranovitovic
2
1k

Transcript

  1. 2024/9/21ハンズオン 事前準備の⼿順

  2. Burpのインストール① https://portswigger.net/burp/communitydownload 2 下記のURLにアクセス後、 「Go straight to downloads」を クリックします。

  3. Burpのインストール② 3 「Download」をクリックします。 ダウンロード後、インストーラを 実⾏します。 インストール後、Burp Suiteを起 動します。

  4. Burpのセットアップ① 4 Community版の場合、Projectの 作成が⾏えないため、起動毎に セットアップが必要です。 Burpの起動後、「Next」をクリッ クします。

  5. Burpのセットアップ② 5 「Choose file..」をクリックし、 配布の「20240921.json」を選択 します。 その後、「Start Burp」をクリッ クします。 ※「20240921.json」は以下の

    「burp-setting」内に配置して います。 https://github.com/att4tt/BadT hread

  6. Burpのセットアップ③ 6 「Live passive~」を無効にします。

  7. Burpのセットアップ④ 7 「Proxy」タブを選択後、 「Intercept on」をクリックし、 「Intercept off」に変更(無効 化)します。

  8. Burpのセットアップ⑤ 8 「Open browser」をクリックしま す。

  9. Burpのセットアップ⑥ 9 起動したChromium上より、 「http://127.0.0.1」へアクセス します。 ※事前に、配布したハンズオン⽤ のWebアプリ「Bad Thread」を起 動しておく必要があります。

  10. Burpのセットアップ⑦ 10 ハンズオン⽤のWebアプリが表⽰ されることを確認します。

  11. Burpのセットアップ⑧ 11 Burpの「Proxy」タブ内の「HTTP history」タブを選択します。 ハンズオンアプリへのHTTPリクエ ストのログが表⽰されることを確 認します。 以上でBurpのセットアップは完了 です。

  12. Burpの基本操作① 12 ハンズオンの中では、主に「Repe ater」の機能を使⽤します。 これはBurp上から、任意のリクエ ストを送信(再送)を⾏うことが できる機能です。 ⼀例として、Burpの「Proxy」タ ブ内の「HTTP history」タブに表

    ⽰されたHostが「http://127.0.0. 1」のログを選択します。 ※ハンズオン環境以外にリクエストを⾶ばさないために、 必ずHostが「http://127.0.0.1(:8888)」のログを選択してください

  13. Burpの基本操作② 13 表⽰されたリクエストの⾚枠内で 右クリック→「Send to Repeate r」をクリックします。

  14. Burpの基本操作③ 14 「Send」をクリックすることで、 対象のリクエストをBurp上から直 接送信(再送)することが可能で す。 Repeaterから送信するリクエスト は、必ずハンズオン環境(127.0. 0.1)のリクエストのみとしてくだ さい。

  15. Burpの基本操作④ 15 「GraphQL」タブをクリックする ことで、リクエスト内のクエリの 内容を確認・編集することが可能 です。

  16. GraphQL Voyagerの導⼊ 16 スキーマ情報の可視化に使⽤するツールです。 ローカルで実⾏する場合は、以下より導⼊してください。 • https://github.com/graphql-kit/graphql-voyager 以下より、オンラインのデモ版も利⽤可能です。 • https://graphql-kit.com/graphql-voyager/

    clone後のコマンド例(「 npm install」「npm run」は初回のみ実⾏) $ npm install && npm run build:release $ npm start 「https:127.0.0.1:9090」へアクセス