全集中Burp extension ISTE v0.5.0 ｰ Request chain の躍進 / Burp extension ISTE v050

Transcript

1. 全集中Burp extension ISTE v0.5.0 　 Request chain の躍進 @okuken3 2022.09.27

   第23回 初心者のためのセキュリティ勉強会

2. 0. 自己紹介 1. ISTE とは 2. ISTE v0.5.0 の新機能 3.

   ISTE v0.5.0 の改善点 4. お知らせ 5. まとめ Agenda

3. Kenichi Okuno 　Twitter: @okuken3 自己紹介 ・セキュリティエンジニア ・三井物産セキュアディレクション(MBSD)所属 ・主にWebアプリケーション脆弱性診断を担当 ・趣味で全集中Burp extension

   ISTEを開発 ・過去職ではWebアプリ開発やプロダクトセキュリティなど ※発言や記載内容は個人の見解です 最近の出来事/一言 ・ISTEコミュニティのDiscord移行完了！ ・ISTE v0.5.0 リリース！(2022/09/22)

4. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp

   extension 2021年2月19日 公開 (v0.1.0) https://github.com/okuken/integrated-security-testing-environment

5. ISTE v0.5.0 の新機能 機能 概要 起動経路 Aboutタブ ISTEの現行バージョンの表示、および最新バージョンの チェック機能を提供。「Auto check」をONにすること

   で、ISTE起動時に自動でチェックすることも可能。 ISTE > About

6. 分類 改善点 実行制御 ・ノンストップ実行に加え、ステップ実行、ブレークポイントの設定をサポート。 ・特定のリクエストをスキップしたり、繰り返し実行することも可能に。 ・ブレークポイントは認証用チェーンにも設定可能（SMS認証等への対応を想定）。 設定の容易さ ・URL一覧で選択した複数リクエストからチェーンを作成する導線を追加。 ・Cookieやトークンの引継ぎ設定を半自動で登録する機能を追加（実験的）。 設定の柔軟性

   ・引継ぎ設定で参照できる事前定義変数(Preset vars)をサポート。 UI ・チェーンノードのナビゲータを追加。 ・メッセージエディタのレイアウト設定を追加。 ・キーボードニーモニックを設定。 ISTE v0.5.0 の改善点（Request chain） ※主要な改善点のみ記載。詳細はリリースノート、およびREADMEの「リクエストチェーンの使用」の項を参照のこと。 https://github.com/okuken/integrated-security-testing-environment/releases/tag/v0.5.0 https://github.com/okuken/integrated-security-testing-environment/blob/master/README.ja.md

7. ※ OWASP Mutillidae II のリクエスト/レスポンスを一部改変して例示

8. お知らせ

9. 日程：2022/10/11(火) 20:00-21:00 場所：オンライン（Google Meet）※ログイン不要でご参加いただけます 内容：ISTEのご紹介、v0.5.0のご紹介、デモ、質疑応答 https://burp-iste.connpass.com/event/261436/

10. 対象者　：ISTEに興味をお持ちの方ならどなたでも 参加方法：下記の招待リンクからお気軽にご参加ください！ https://discord.gg/tRS9MGFVG2 ISTEコミュニティを Discord へ移行しました！

11. ISTE v0.5.0 で躍進したRequest chainのデモ、もっと見たかったな… 　⇒ ISTE勉強会 第1回 へようこそ！ ISTEコミュニティでのやりとり、90日で消えちゃうなんて辛いよな… 　⇒

    安心してください。Discordへ移行済みですよ！！ まとめ
12. None