Upgrade to Pro — share decks privately, control downloads, hide ads and more …

#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE

#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE

SECCON Beginners CTF 2021 に「ISTE: Integrated Security Testing Environment」を携えて参戦し、Web問に全集中した話をします。
おまけ:ISTE v0.3.0 新機能紹介

【資料内の主なリンク】
SECCON Beginners CTF 2021 Web問Writeup ~全集中ExtensionでCTFでも全集中~
Burp Suite Professional / Community 2020.11.2 | Releases

2c4ef0f20c4f05ca30e6c9917f0c17b6?s=128

okuken

May 27, 2021
Tweet

Transcript

  1. \#BurpISTE で!/ SECCON Beginners CTF 2021 Web問に全集中した話 @okuken3 2021.05.27 第7回

    初心者のためのセキュリティ勉強会
  2. 0. 自己紹介 1. SECCON Beginners CTF 2021 with ISTE 2.

    今月のISTE (v0.3.0) 3. まとめ Agenda
  3. Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2. 業務パッケージベンダで開発  3.

    Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・ISTE v0.3.0 公開  ・1年ぶりのCTF参戦 (with ISTE)
  4. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp

    extension 2021年2月19日 公開 (v0.1.0) https://github.com/okuken/integrated-security-testing-environment 再掲
  5. SECCON Beginners CTF 2021 with ISTE

  6. https://score.beginners.azure.noc.seccon.jp/rules/

  7. 1.osoba (想定難易度: Beginner) 2.Werewolf (想定難易度: Easy) 3.check_url (想定難易度: Easy) 4.json

    (想定難易度: Medium) 5.cant_use_db (想定難易度: Medium) 6.magic (想定難易度: Hard) Web問は全6問
  8. SECCON Beginners CTF 2021 Web問Writeup ~全集中ExtensionでCTFでも全集中~ https://qiita.com/okuken/items/e504cfa8bdac750baca1 すべてをここに 置いてきた!

  9. 1.osoba (想定難易度: Beginner)

  10. 1. osoba (想定難易度: Beginner)

  11. 1. osoba (想定難易度: Beginner)

  12. 1. osoba (想定難易度: Beginner)

  13. 2.Werewolf (想定難易度: Easy)

  14. 2. Werewolf(想定難易度: Easy)

  15. 2. Werewolf(想定難易度: Easy)

  16. 2. Werewolf(想定難易度: Easy)

  17. 3.check_url (想定難易度: Easy)

  18. 3. check_url(想定難易度: Easy)

  19. 3. check_url(想定難易度: Easy)

  20. 3. check_url(想定難易度: Easy)

  21. 4.json (想定難易度: Medium)

  22. 4. json(想定難易度: Medium)

  23. 4. json(想定難易度: Medium)

  24. 4. json(想定難易度: Medium)

  25. 5.cant_use_db (想定難易度: Medium)

  26. 5. cant_use_db(想定難易度: Medium)

  27. 5. cant_use_db(想定難易度: Medium)

  28. 5. cant_use_db(想定難易度: Medium)

  29. 6.magic (想定難易度: Hard) ※競技終了後に実施

  30. 6. magic(想定難易度: Hard)

  31. 6. magic(想定難易度: Hard)

  32. 6. magic(想定難易度: Hard)

  33. 6. magic(想定難易度: Hard)

  34. 6. magic(想定難易度: Hard)

  35. 6. magic(想定難易度: Hard)

  36. 6. magic(想定難易度: Hard)

  37. 6. magic(想定難易度: Hard)

  38. 今月のISTE - v0.3.0 -

  39. ISTE v0.3.0 の新機能 機能 概要 起動経路 Dark theme のサポート Burp

    Suite本体が2020.11.2verでDark themeを導入したが1、Dark theme使用 時にISTEの視認性が著しく悪化する問題 があったため、ISTE側にもDark theme 設定を追加することで対応した。 ISTE > Options > User options > Misc > Theme ISTE Plugin API の提供 ISTE本体に実装し得ない機能(例:自作ア プリとの連携機能)を開発するための拡張 ポイントを提供。v0.3.0でAPIを刷新・ 外部化し、リポジトリで公開した。 ISTE > Plugins ※ISTE Plugin API: https://github.com/okuken/iste-plugin-api 1 https://portswigger.net/burp/releases/professional-community-2020-11-2
  40. Dark theme

  41. ISTE で CTF(Web問) でも全集中しよう! ISTE、ダークテーマ対応してないんだってよ。  ⇒ v0.3.0で対応!ダークテーマに縛られて一歩踏み出せなかった方も是非! まとめ \ISTEでWeb診断員を全集中へ/ GitHubスターで応援お願いします!

    目標:5月中に50スター達成
  42. ご清聴ありがとうございました