Upgrade to Pro — share decks privately, control downloads, hide ads and more …

全集中 Burp extension ISTE v0.4リリース / Burp extensi...

okuken
October 28, 2021
Technology
0
380

全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4

Webアプリケーション脆弱性診断員を煩雑な作業から解放し、全集中へと導く Burp extension 「ISTE: Integrated Security Testing Environment」の v0.4 をリリースしましたので、デモを交えて紹介します。

okuken

October 28, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
290
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
330
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
680
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
550
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
440
Dangerous usage of JNDI
okuken
0
360
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.8k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.3k
#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE
okuken
1
490

Other Decks in Technology

See All in Technology
君は隠しイベントを見つけれるか?
mujyun
0
300
Amazon_CloudWatch_ログ異常検出_導入ガイド
tsujiba
4
1.6k
AWS re:Inventを徹底的に楽しむためのTips / Tips for thoroughly enjoying AWS re:Invent
yuj1osm
1
570
ガチ勢によるPipeCD運用大全〜滑らかなCI/CDを添えて〜 / ai-pipecd-encyclopedia
cyberagentdevelopers
PRO
3
210
AWS CodePipelineでコンテナアプリをデプロイした際に、古いイメージを自動で削除する
smt7174
1
100
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.6k
生成AIとAWS CDKで実現! 自社ブログレビューの効率化
ymae
2
330
MAMを軸とした動画ハンドリングにおけるAI活用前提の整備と次世代ビジョン / abema-ai-mam
cyberagentdevelopers
PRO
1
120
CyberAgent 生成AI Deep Dive with Amazon Web Services / genai-aws
cyberagentdevelopers
PRO
1
480
ABEMA のコンテンツ制作を最適化!生成 AI x クラウド映像編集システム / abema-ai-editor
cyberagentdevelopers
PRO
1
180
新卒1年目が挑む!生成AI × マルチエージェントで実現する次世代オンボーディング / operation-ai-onboarding
cyberagentdevelopers
PRO
1
170
ユーザーの購買行動モデリングとその分析 / dsc-purchase-analysis
cyberagentdevelopers
PRO
2
100

Featured

See All Featured
Adopting Sorbet at Scale
ufuk
73
9k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
9
680
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
StorybookのUI Testing Handbookを読んだ
zakiyama
26
5.2k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
328
21k
Designing for humans not robots
tammielis
249
25k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Six Lessons from altMBA
skipperchong
26
3.5k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
32
1.8k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Music & Morning Musume
bryan
46
6.1k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.8k

Transcript

  1. 全集中 Burp extension ISTE v0.4 リリース @okuken3 2021.10.28 第12回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. ISTE とは 2. ISTE v0.4 の新機能 3.

    ISTE v0.4 の改善点 4. デモ 5. まとめ Agenda

  3. SOUND ONLY Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2.

    業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・ISTE v0.4.0 リリース (2021/10/17)  ・ISTE v0.4.1 リリース (2021/10/25)

  4. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp

    extension 2021年2月19日 公開 (v0.1.0) https://github.com/okuken/integrated-security-testing-environment

  5. ISTE v0.4 の新機能 機能 概要 起動経路 ユーザオプションの Export/Import/Clear ISTEのユーザオプションをJSON形式でExport/Import する機能。個人で複数端末を使用するケースや、各種テ

    ンプレート設定のメンバー間での共有などを想定。 Clear機能では、共用端末などで行ったISTEの設定を、 端末返却時に1クリックでクリア可能。 ISTE > Tools > Export/Import > User options 一括入力 URL一覧において複数セルを一括で更新する機能。 単純な一括入力に加え、正規表現による一括置換、一括 ナンバリングの機能も提供。 ISTE > List > (Context menu) > Edit cell

  6. 対象機能 改善点 認証定義 ・セッションIDの反映先を複数指定可能に ・セッションIDの取得元としてAccount tableを指定可能に ・セッションIDの反映時にURL-encodeするオプションを追加(Request chainでも同様に対応) ・Account tableの列数拡充(5→10)

    [仕様変更] ・セッションIDの反映は、元リクエストに対象パラメータが存在する場合にのみ行うように変更 ・セッションIDを暗黙クリアするタイミングを必要最小限に変更 ・セッションIDが暗黙クリアされた際に、Repeater上のアカウント選択を維持するように変更 ISTE v0.4 の改善点 ※ 便宜上「セッションID」と表現しているが、認証フローの結果得た値、あるいはあらかじめAccount tableに登録しておいた値を   Repeatリクエストに反映したいような任意のケースで利用可能。

  7. 対象機能 機能 ショートカット Proxy history Send to ISTE Ctrl-Q あるいは

    Ctrl-右クリック ※1 Send to ISTE as history of repeat Ctrl+Shift-Q あるいは Ctrl+Shift-右クリック ※1 URL一覧 Edit cell Ctrl-E Copy name Ctrl-N Copy URL Ctrl-U ・・・ (上記以外にも複数あり。全量はURL一覧のコンテキストメニューにて確認可能。) Copy template にはキーボードニーモニックを設定可能とした。 ISTE v0.4 の改善点(キーボードショートカット) ※1 実験的な機能であるためデフォルトでは無効としている。有効化は ISTE > Options > User options > Misc > Shortcut にて。   なお、Ctrl-右クリック および Ctrl+Shift-右クリック は各所のメッセージエディタにおいても使用可能。

  8. 1. ISTEの復習  - 基本の流れ  - アカウント指定リピート 2. v0.4の紹介  - 改善点

     - 新機能 デモ

  9. ISTEのユーザオプションを一つ一つコピペ同期するの面倒…  ⇒ Export/Import機能で楽しよう! URL一覧の進捗更新やナンバリングを一つ一つ手作業でやるのは煩雑…  ⇒ 一括入力機能で一発更新!ショートカットを覚えて更なる加速も! “Send to ISTE” のメニュー階層が深すぎて辛い…

     ⇒ ショートカットを有効化して全集中を取り戻そう! まとめ

  11. None