Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2024/9/21ハンズオン事前準備資料
Search
Adachi Tomohiro
September 14, 2024
0
84
2024/9/21ハンズオン事前準備資料
「OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜」でのハンズオン「GraphQLを使ったWebアプリを攻めの視点から覗いてみる」の事前準備資料です。
Adachi Tomohiro
September 14, 2024
Tweet
Share
More Decks by Adachi Tomohiro
See All by Adachi Tomohiro
テストツールで覗いてみる、log4jの世界
adachi
0
720
CMSでのXSStoRCEを触ってみた
adachi
0
110
Featured
See All Featured
YesSQL, Process and Tooling at Scale
rocio
169
14k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
GraphQLとの向き合い方2022年版
quramy
44
13k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
A designer walks into a library…
pauljervisheath
205
24k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
127
18k
Statistics for Hackers
jakevdp
796
220k
GitHub's CSS Performance
jonrohan
1031
460k
Building an army of robots
kneath
302
44k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
170
Building Applications with DynamoDB
mza
91
6.1k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Transcript
2024/9/21ハンズオン 事前準備の⼿順
Burpのインストール① https://portswigger.net/burp/communitydownload 2 下記のURLにアクセス後、 「Go straight to downloads」を クリックします。
Burpのインストール② 3 「Download」をクリックします。 ダウンロード後、インストーラを 実⾏します。 インストール後、Burp Suiteを起 動します。
Burpのセットアップ① 4 Community版の場合、Projectの 作成が⾏えないため、起動毎に セットアップが必要です。 Burpの起動後、「Next」をクリッ クします。
Burpのセットアップ② 5 「Choose file..」をクリックし、 配布の「20240921.json」を選択 します。 その後、「Start Burp」をクリッ クします。 ※「20240921.json」は以下の
「burp-setting」内に配置して います。 https://github.com/att4tt/BadT hread
Burpのセットアップ③ 6 「Live passive~」を無効にします。
Burpのセットアップ④ 7 「Proxy」タブを選択後、 「Intercept on」をクリックし、 「Intercept off」に変更(無効 化)します。
Burpのセットアップ⑤ 8 「Open browser」をクリックしま す。
Burpのセットアップ⑥ 9 起動したChromium上より、 「http://127.0.0.1」へアクセス します。 ※事前に、配布したハンズオン⽤ のWebアプリ「Bad Thread」を起 動しておく必要があります。
Burpのセットアップ⑦ 10 ハンズオン⽤のWebアプリが表⽰ されることを確認します。
Burpのセットアップ⑧ 11 Burpの「Proxy」タブ内の「HTTP history」タブを選択します。 ハンズオンアプリへのHTTPリクエ ストのログが表⽰されることを確 認します。 以上でBurpのセットアップは完了 です。
Burpの基本操作① 12 ハンズオンの中では、主に「Repe ater」の機能を使⽤します。 これはBurp上から、任意のリクエ ストを送信(再送)を⾏うことが できる機能です。 ⼀例として、Burpの「Proxy」タ ブ内の「HTTP history」タブに表
⽰されたHostが「http://127.0.0. 1」のログを選択します。 ※ハンズオン環境以外にリクエストを⾶ばさないために、 必ずHostが「http://127.0.0.1(:8888)」のログを選択してください
Burpの基本操作② 13 表⽰されたリクエストの⾚枠内で 右クリック→「Send to Repeate r」をクリックします。
Burpの基本操作③ 14 「Send」をクリックすることで、 対象のリクエストをBurp上から直 接送信(再送)することが可能で す。 Repeaterから送信するリクエスト は、必ずハンズオン環境(127.0. 0.1)のリクエストのみとしてくだ さい。
Burpの基本操作④ 15 「GraphQL」タブをクリックする ことで、リクエスト内のクエリの 内容を確認・編集することが可能 です。
GraphQL Voyagerの導⼊ 16 スキーマ情報の可視化に使⽤するツールです。 ローカルで実⾏する場合は、以下より導⼊してください。 • https://github.com/graphql-kit/graphql-voyager 以下より、オンラインのデモ版も利⽤可能です。 • https://graphql-kit.com/graphql-voyager/
clone後のコマンド例(「 npm install」「npm run」は初回のみ実⾏) $ npm install && npm run build:release $ npm start 「https:127.0.0.1:9090」へアクセス