Upgrade to Pro — share decks privately, control downloads, hide ads and more …

全集中 Burp extension ISTE v0.4リリース / Burp extensi...

okuken
October 28, 2021
Technology
0
380

全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4

Webアプリケーション脆弱性診断員を煩雑な作業から解放し、全集中へと導く Burp extension 「ISTE: Integrated Security Testing Environment」の v0.4 をリリースしましたので、デモを交えて紹介します。

okuken

October 28, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
300
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
330
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
690
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
550
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
440
Dangerous usage of JNDI
okuken
0
370
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.8k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.3k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
okuken
1
490

Other Decks in Technology

See All in Technology
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
150
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
130
Adopting Jetpack Compose in Your Existing Project - GDG DevFest Bangkok 2024
akexorcist
0
110
エンジニア人生の拡張性を高める 「探索型キャリア設計」の提案
tenshoku_draft
1
120
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
200
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
0
110
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
580
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170

Featured

See All Featured
Measuring & Analyzing Core Web Vitals
bluesmoon
4
120
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Optimising Largest Contentful Paint
csswizardry
33
2.9k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
A Modern Web Designer's Workflow
chriscoyier
693
190k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Navigating Team Friction
lara
183
14k
Fireside Chat
paigeccino
34
3k
YesSQL, Process and Tooling at Scale
rocio
169
14k
KATA
mclloyd
29
14k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k

Transcript

  1. 全集中 Burp extension ISTE v0.4 リリース @okuken3 2021.10.28 第12回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. ISTE とは 2. ISTE v0.4 の新機能 3.

    ISTE v0.4 の改善点 4. デモ 5. まとめ Agenda

  3. SOUND ONLY Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2.

    業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・ISTE v0.4.0 リリース (2021/10/17)  ・ISTE v0.4.1 リリース (2021/10/25)

  4. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp

    extension 2021年2月19日 公開 (v0.1.0) https://github.com/okuken/integrated-security-testing-environment

  5. ISTE v0.4 の新機能 機能 概要 起動経路 ユーザオプションの Export/Import/Clear ISTEのユーザオプションをJSON形式でExport/Import する機能。個人で複数端末を使用するケースや、各種テ

    ンプレート設定のメンバー間での共有などを想定。 Clear機能では、共用端末などで行ったISTEの設定を、 端末返却時に1クリックでクリア可能。 ISTE > Tools > Export/Import > User options 一括入力 URL一覧において複数セルを一括で更新する機能。 単純な一括入力に加え、正規表現による一括置換、一括 ナンバリングの機能も提供。 ISTE > List > (Context menu) > Edit cell

  6. 対象機能 改善点 認証定義 ・セッションIDの反映先を複数指定可能に ・セッションIDの取得元としてAccount tableを指定可能に ・セッションIDの反映時にURL-encodeするオプションを追加(Request chainでも同様に対応) ・Account tableの列数拡充(5→10)

    [仕様変更] ・セッションIDの反映は、元リクエストに対象パラメータが存在する場合にのみ行うように変更 ・セッションIDを暗黙クリアするタイミングを必要最小限に変更 ・セッションIDが暗黙クリアされた際に、Repeater上のアカウント選択を維持するように変更 ISTE v0.4 の改善点 ※ 便宜上「セッションID」と表現しているが、認証フローの結果得た値、あるいはあらかじめAccount tableに登録しておいた値を   Repeatリクエストに反映したいような任意のケースで利用可能。

  7. 対象機能 機能 ショートカット Proxy history Send to ISTE Ctrl-Q あるいは

    Ctrl-右クリック ※1 Send to ISTE as history of repeat Ctrl+Shift-Q あるいは Ctrl+Shift-右クリック ※1 URL一覧 Edit cell Ctrl-E Copy name Ctrl-N Copy URL Ctrl-U ・・・ (上記以外にも複数あり。全量はURL一覧のコンテキストメニューにて確認可能。) Copy template にはキーボードニーモニックを設定可能とした。 ISTE v0.4 の改善点(キーボードショートカット) ※1 実験的な機能であるためデフォルトでは無効としている。有効化は ISTE > Options > User options > Misc > Shortcut にて。   なお、Ctrl-右クリック および Ctrl+Shift-右クリック は各所のメッセージエディタにおいても使用可能。

  8. 1. ISTEの復習  - 基本の流れ  - アカウント指定リピート 2. v0.4の紹介  - 改善点

     - 新機能 デモ

  9. ISTEのユーザオプションを一つ一つコピペ同期するの面倒…  ⇒ Export/Import機能で楽しよう! URL一覧の進捗更新やナンバリングを一つ一つ手作業でやるのは煩雑…  ⇒ 一括入力機能で一発更新!ショートカットを覚えて更なる加速も! “Send to ISTE” のメニュー階層が深すぎて辛い…

     ⇒ ショートカットを有効化して全集中を取り戻そう! まとめ

  11. None