Upgrade to Pro — share decks privately, control downloads, hide ads and more …

#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した...

okuken
May 27, 2021
Technology
1
490

#BurpISTEで!SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE

SECCON Beginners CTF 2021 に「ISTE: Integrated Security Testing Environment」を携えて参戦し、Web問に全集中した話をします。
おまけ:ISTE v0.3.0 新機能紹介

【資料内の主なリンク】
SECCON Beginners CTF 2021 Web問Writeup ~全集中ExtensionでCTFでも全集中~
Burp Suite Professional / Community 2020.11.2 | Releases

okuken

May 27, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
290
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
330
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
680
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
550
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
440
Dangerous usage of JNDI
okuken
0
360
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
380
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.8k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.3k

Other Decks in Technology

See All in Technology
[AWS JAPAN 生成AIハッカソン] Dialog の紹介
yoshimi0227
0
150
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.6k
コンテンツを支える 若手ゲームクリエイターの アートディレクションの事例紹介 / cagamefi-game
cyberagentdevelopers
PRO
1
130
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
130
独自ツール開発でスタジオ撮影をDX!「VLS(Virtual LED Studio)」 / dx-studio-vls
cyberagentdevelopers
PRO
1
180
生成AIとAWS CDKで実現! 自社ブログレビューの効率化
ymae
2
330
日経電子版におけるリアルタイムレコメンドシステム開発の事例紹介/nikkei-realtime-recommender-system
yng87
1
510
AWS CDKでデータリストアの運用、どのように設計する?~Aurora・EFSの実践事例を紹介~/aws-cdk-data-restore-aurora-efs
mhrtech
4
660
カメラを用いた店内計測におけるオプトインの仕組みの実現 / ai-optin-camera
cyberagentdevelopers
PRO
1
120
Commitment vs Harrisonism - Keynote for Scrum Niseko 2024
miholovesq
6
1.1k
バクラクにおける可観測性向上の取り組み
yuu26
3
420
Gradle: The Build System That Loves To Hate You
aurimas
2
150

Featured

See All Featured
BBQ
matthewcrist
85
9.3k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
How STYLIGHT went responsive
nonsquared
95
5.2k
Product Roadmaps are Hard
iamctodd
PRO
48
10k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
3
370
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Side Projects
sachag
452
42k
Building Your Own Lightsaber
phodgson
102
6.1k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
GraphQLの誤解/rethinking-graphql
sonatard
66
9.9k
Building Adaptive Systems
keathley
38
2.2k
Being A Developer After 40
akosma
86
590k

Transcript

  1. \#BurpISTE で!/ SECCON Beginners CTF 2021 Web問に全集中した話 @okuken3 2021.05.27 第7回

    初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. SECCON Beginners CTF 2021 with ISTE 2.

    今月のISTE (v0.3.0) 3. まとめ Agenda

  3. Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2. 業務パッケージベンダで開発  3.

    Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  ・ISTE v0.3.0 公開  ・1年ぶりのCTF参戦 (with ISTE)

  4. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp

    extension 2021年2月19日 公開 (v0.1.0) https://github.com/okuken/integrated-security-testing-environment 再掲

  5. SECCON Beginners CTF 2021 with ISTE

  6. https://score.beginners.azure.noc.seccon.jp/rules/

  7. 1.osoba (想定難易度: Beginner) 2.Werewolf (想定難易度: Easy) 3.check_url (想定難易度: Easy) 4.json

    (想定難易度: Medium) 5.cant_use_db (想定難易度: Medium) 6.magic (想定難易度: Hard) Web問は全6問

  8. SECCON Beginners CTF 2021 Web問Writeup ~全集中ExtensionでCTFでも全集中~ https://qiita.com/okuken/items/e504cfa8bdac750baca1 すべてをここに 置いてきた!

  9. 1.osoba (想定難易度: Beginner)

  10. 1. osoba (想定難易度: Beginner)

  11. 1. osoba (想定難易度: Beginner)

  12. 1. osoba (想定難易度: Beginner)

  13. 2.Werewolf (想定難易度: Easy)

  14. 2. Werewolf(想定難易度: Easy)

  15. 2. Werewolf(想定難易度: Easy)

  16. 2. Werewolf(想定難易度: Easy)

  17. 3.check_url (想定難易度: Easy)

  18. 3. check_url(想定難易度: Easy)

  19. 3. check_url(想定難易度: Easy)

  20. 3. check_url(想定難易度: Easy)

  21. 4.json (想定難易度: Medium)

  22. 4. json(想定難易度: Medium)

  23. 4. json(想定難易度: Medium)

  24. 4. json(想定難易度: Medium)

  25. 5.cant_use_db (想定難易度: Medium)

  26. 5. cant_use_db(想定難易度: Medium)

  27. 5. cant_use_db(想定難易度: Medium)

  28. 5. cant_use_db(想定難易度: Medium)

  29. 6.magic (想定難易度: Hard) ※競技終了後に実施

  30. 6. magic(想定難易度: Hard)

  31. 6. magic(想定難易度: Hard)

  32. 6. magic(想定難易度: Hard)

  33. 6. magic(想定難易度: Hard)

  34. 6. magic(想定難易度: Hard)

  35. 6. magic(想定難易度: Hard)

  36. 6. magic(想定難易度: Hard)

  37. 6. magic(想定難易度: Hard)

  38. 今月のISTE - v0.3.0 -

  39. ISTE v0.3.0 の新機能 機能 概要 起動経路 Dark theme のサポート Burp

    Suite本体が2020.11.2verでDark themeを導入したが1、Dark theme使用 時にISTEの視認性が著しく悪化する問題 があったため、ISTE側にもDark theme 設定を追加することで対応した。 ISTE > Options > User options > Misc > Theme ISTE Plugin API の提供 ISTE本体に実装し得ない機能(例:自作ア プリとの連携機能)を開発するための拡張 ポイントを提供。v0.3.0でAPIを刷新・ 外部化し、リポジトリで公開した。 ISTE > Plugins ※ISTE Plugin API: https://github.com/okuken/iste-plugin-api 1 https://portswigger.net/burp/releases/professional-community-2020-11-2

  40. Dark theme

  41. ISTE で CTF(Web問) でも全集中しよう! ISTE、ダークテーマ対応してないんだってよ。  ⇒ v0.3.0で対応!ダークテーマに縛られて一歩踏み出せなかった方も是非! まとめ \ISTEでWeb診断員を全集中へ/ GitHubスターで応援お願いします!

    目標:5月中に50スター達成

  42. ご清聴ありがとうございました