Save 37% off PRO during our Black Friday Sale! »

全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4

2c4ef0f20c4f05ca30e6c9917f0c17b6?s=47 okuken
October 28, 2021

全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4

Webアプリケーション脆弱性診断員を煩雑な作業から解放し、全集中へと導く Burp extension 「ISTE: Integrated Security Testing Environment」の v0.4 をリリースしましたので、デモを交えて紹介します。

2c4ef0f20c4f05ca30e6c9917f0c17b6?s=128

okuken

October 28, 2021
Tweet

Transcript

  1. 全集中 Burp extension ISTE v0.4 リリース @okuken3 2021.10.28 第12回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. ISTE とは 2. ISTE v0.4 の新機能 3.

    ISTE v0.4 の改善点 4. デモ 5. まとめ Agenda
  3. SOUND ONLY Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2.

    業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・ISTE v0.4.0 リリース (2021/10/17)  ・ISTE v0.4.1 リリース (2021/10/25)
  4. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp

    extension 2021年2月19日 公開 (v0.1.0) https://github.com/okuken/integrated-security-testing-environment
  5. ISTE v0.4 の新機能 機能 概要 起動経路 ユーザオプションの Export/Import/Clear ISTEのユーザオプションをJSON形式でExport/Import する機能。個人で複数端末を使用するケースや、各種テ

    ンプレート設定のメンバー間での共有などを想定。 Clear機能では、共用端末などで行ったISTEの設定を、 端末返却時に1クリックでクリア可能。 ISTE > Tools > Export/Import > User options 一括入力 URL一覧において複数セルを一括で更新する機能。 単純な一括入力に加え、正規表現による一括置換、一括 ナンバリングの機能も提供。 ISTE > List > (Context menu) > Edit cell
  6. 対象機能 改善点 認証定義 ・セッションIDの反映先を複数指定可能に ・セッションIDの取得元としてAccount tableを指定可能に ・セッションIDの反映時にURL-encodeするオプションを追加(Request chainでも同様に対応) ・Account tableの列数拡充(5→10)

    [仕様変更] ・セッションIDの反映は、元リクエストに対象パラメータが存在する場合にのみ行うように変更 ・セッションIDを暗黙クリアするタイミングを必要最小限に変更 ・セッションIDが暗黙クリアされた際に、Repeater上のアカウント選択を維持するように変更 ISTE v0.4 の改善点 ※ 便宜上「セッションID」と表現しているが、認証フローの結果得た値、あるいはあらかじめAccount tableに登録しておいた値を   Repeatリクエストに反映したいような任意のケースで利用可能。
  7. 対象機能 機能 ショートカット Proxy history Send to ISTE Ctrl-Q あるいは

    Ctrl-右クリック ※1 Send to ISTE as history of repeat Ctrl+Shift-Q あるいは Ctrl+Shift-右クリック ※1 URL一覧 Edit cell Ctrl-E Copy name Ctrl-N Copy URL Ctrl-U ・・・ (上記以外にも複数あり。全量はURL一覧のコンテキストメニューにて確認可能。) Copy template にはキーボードニーモニックを設定可能とした。 ISTE v0.4 の改善点(キーボードショートカット) ※1 実験的な機能であるためデフォルトでは無効としている。有効化は ISTE > Options > User options > Misc > Shortcut にて。   なお、Ctrl-右クリック および Ctrl+Shift-右クリック は各所のメッセージエディタにおいても使用可能。
  8. 1. ISTEの復習  - 基本の流れ  - アカウント指定リピート 2. v0.4の紹介  - 改善点

     - 新機能 デモ
  9. ISTEのユーザオプションを一つ一つコピペ同期するの面倒…  ⇒ Export/Import機能で楽しよう! URL一覧の進捗更新やナンバリングを一つ一つ手作業でやるのは煩雑…  ⇒ 一括入力機能で一発更新!ショートカットを覚えて更なる加速も! “Send to ISTE” のメニュー階層が深すぎて辛い…

     ⇒ ショートカットを有効化して全集中を取り戻そう! まとめ
  10. None