2024/9/21ハンズオン事前準備資料

2024/9/21ハンズオン事前準備の⼿順

Burpのインストール① https://portswigger.net/burp/communitydownload 2 下記のURLにアクセス後、「Go straight to downloads」をクリックします。

Burpのインストール② 3 「Download」をクリックします。ダウンロード後、インストーラを実⾏します。インストール後、Burp Suiteを起動します。

Burpのセットアップ① 4 Community版の場合、Projectの作成が⾏えないため、起動毎にセットアップが必要です。 Burpの起動後、「Next」をクリックします。

Burpのセットアップ② 5 「Choose file..」をクリックし、配布の「20240921.json」を選択します。その後、「Start Burp」をクリックします。 ※「20240921.json」は以下の
「burp-setting」内に配置しています。 https://github.com/att4tt/BadT hread

Burpのセットアップ③ 6 「Live passive~」を無効にします。

Burpのセットアップ④ 7 「Proxy」タブを選択後、「Intercept on」をクリックし、「Intercept off」に変更（無効化）します。

Burpのセットアップ⑤ 8 「Open browser」をクリックします。

Burpのセットアップ⑥ 9 起動したChromium上より、「http://127.0.0.1」へアクセスします。 ※事前に、配布したハンズオン⽤のWebアプリ「Bad Thread」を起動しておく必要があります。

Burpのセットアップ⑦ 10 ハンズオン⽤のWebアプリが表⽰されることを確認します。

Burpのセットアップ⑧ 11 Burpの「Proxy」タブ内の「HTTP history」タブを選択します。ハンズオンアプリへのHTTPリクエストのログが表⽰されることを確認します。以上でBurpのセットアップは完了です。

Burpの基本操作① 12 ハンズオンの中では、主に「Repe ater」の機能を使⽤します。これはBurp上から、任意のリクエストを送信（再送）を⾏うことができる機能です。⼀例として、Burpの「Proxy」タブ内の「HTTP history」タブに表
⽰されたHostが「http://127.0.0. 1」のログを選択します。 ※ハンズオン環境以外にリクエストを⾶ばさないために、必ずHostが「http://127.0.0.1（:8888）」のログを選択してください

Burpの基本操作② 13 表⽰されたリクエストの⾚枠内で右クリック→「Send to Repeate r」をクリックします。

Burpの基本操作③ 14 「Send」をクリックすることで、対象のリクエストをBurp上から直接送信（再送）することが可能です。 Repeaterから送信するリクエストは、必ずハンズオン環境（127.0. 0.1）のリクエストのみとしてください。

Burpの基本操作④ 15 「GraphQL」タブをクリックすることで、リクエスト内のクエリの内容を確認・編集することが可能です。

GraphQL Voyagerの導⼊ 16 スキーマ情報の可視化に使⽤するツールです。ローカルで実⾏する場合は、以下より導⼊してください。 • https://github.com/graphql-kit/graphql-voyager 以下より、オンラインのデモ版も利⽤可能です。 • https://graphql-kit.com/graphql-voyager/
clone後のコマンド例（「 npm install」「npm run」は初回のみ実⾏） $ npm install && npm run build:release $ npm start 「https:127.0.0.1:9090」へアクセス

2024/9/21ハンズオン事前準備資料

2024/9/21ハンズオン事前準備資料

Adachi Tomohiro

More Decks by Adachi Tomohiro

Featured

Transcript

2024/9/21ハンズオン事前準備の⼿順

Burpのインストール① https://portswigger.net/burp/communitydownload 2 下記のURLにアクセス後、「Go straight to downloads」をクリックします。

Burpのインストール② 3 「Download」をクリックします。ダウンロード後、インストーラを実⾏します。インストール後、Burp Suiteを起動します。

Burpのセットアップ① 4 Community版の場合、Projectの作成が⾏えないため、起動毎にセットアップが必要です。 Burpの起動後、「Next」をクリックします。

Burpのセットアップ② 5 「Choose file..」をクリックし、配布の「20240921.json」を選択します。その後、「Start Burp」をクリックします。 ※「20240921.json」は以下の

Burpのセットアップ③ 6 「Live passive~」を無効にします。

Burpのセットアップ④ 7 「Proxy」タブを選択後、「Intercept on」をクリックし、「Intercept off」に変更（無効化）します。

Burpのセットアップ⑤ 8 「Open browser」をクリックします。

Burpのセットアップ⑥ 9 起動したChromium上より、「http://127.0.0.1」へアクセスします。 ※事前に、配布したハンズオン⽤のWebアプリ「Bad Thread」を起動しておく必要があります。

Burpのセットアップ⑦ 10 ハンズオン⽤のWebアプリが表⽰されることを確認します。

Burpのセットアップ⑧ 11 Burpの「Proxy」タブ内の「HTTP history」タブを選択します。ハンズオンアプリへのHTTPリクエストのログが表⽰されることを確認します。以上でBurpのセットアップは完了です。

Burpの基本操作① 12 ハンズオンの中では、主に「Repe ater」の機能を使⽤します。これはBurp上から、任意のリクエストを送信（再送）を⾏うことができる機能です。⼀例として、Burpの「Proxy」タブ内の「HTTP history」タブに表

Burpの基本操作② 13 表⽰されたリクエストの⾚枠内で右クリック→「Send to Repeate r」をクリックします。

Burpの基本操作④ 15 「GraphQL」タブをクリックすることで、リクエスト内のクエリの内容を確認・編集することが可能です。