Upgrade to Pro — share decks privately, control downloads, hide ads and more …

全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4

okuken
October 28, 2021

全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4

Webアプリケーション脆弱性診断員を煩雑な作業から解放し、全集中へと導く Burp extension 「ISTE: Integrated Security Testing Environment」の v0.4 をリリースしましたので、デモを交えて紹介します。

okuken

October 28, 2021
Tweet

More Decks by okuken

Other Decks in Technology

Transcript

  1. 0. 自己紹介 1. ISTE とは 2. ISTE v0.4 の新機能 3.

    ISTE v0.4 の改善点 4. デモ 5. まとめ Agenda
  2. SOUND ONLY Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2.

    業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・ISTE v0.4.0 リリース (2021/10/17)  ・ISTE v0.4.1 リリース (2021/10/25)
  3. ISTE v0.4 の新機能 機能 概要 起動経路 ユーザオプションの Export/Import/Clear ISTEのユーザオプションをJSON形式でExport/Import する機能。個人で複数端末を使用するケースや、各種テ

    ンプレート設定のメンバー間での共有などを想定。 Clear機能では、共用端末などで行ったISTEの設定を、 端末返却時に1クリックでクリア可能。 ISTE > Tools > Export/Import > User options 一括入力 URL一覧において複数セルを一括で更新する機能。 単純な一括入力に加え、正規表現による一括置換、一括 ナンバリングの機能も提供。 ISTE > List > (Context menu) > Edit cell
  4. 対象機能 改善点 認証定義 ・セッションIDの反映先を複数指定可能に ・セッションIDの取得元としてAccount tableを指定可能に ・セッションIDの反映時にURL-encodeするオプションを追加(Request chainでも同様に対応) ・Account tableの列数拡充(5→10)

    [仕様変更] ・セッションIDの反映は、元リクエストに対象パラメータが存在する場合にのみ行うように変更 ・セッションIDを暗黙クリアするタイミングを必要最小限に変更 ・セッションIDが暗黙クリアされた際に、Repeater上のアカウント選択を維持するように変更 ISTE v0.4 の改善点 ※ 便宜上「セッションID」と表現しているが、認証フローの結果得た値、あるいはあらかじめAccount tableに登録しておいた値を   Repeatリクエストに反映したいような任意のケースで利用可能。
  5. 対象機能 機能 ショートカット Proxy history Send to ISTE Ctrl-Q あるいは

    Ctrl-右クリック ※1 Send to ISTE as history of repeat Ctrl+Shift-Q あるいは Ctrl+Shift-右クリック ※1 URL一覧 Edit cell Ctrl-E Copy name Ctrl-N Copy URL Ctrl-U ・・・ (上記以外にも複数あり。全量はURL一覧のコンテキストメニューにて確認可能。) Copy template にはキーボードニーモニックを設定可能とした。 ISTE v0.4 の改善点(キーボードショートカット) ※1 実験的な機能であるためデフォルトでは無効としている。有効化は ISTE > Options > User options > Misc > Shortcut にて。   なお、Ctrl-右クリック および Ctrl+Shift-右クリック は各所のメッセージエディタにおいても使用可能。