Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Int...

okuken
March 24, 2021
Technology
0
960

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Integrated Security Testing Environment~ / The story of Integrated Security Testing Environment

Webアプリケーション脆弱性診断員を煩雑な作業から解放し、全集中へと導く Burp extension 「ISTE: Integrated Security Testing Environment」の開発背景の紹介と、READMEに沿ったデモをお見せします。
ハッシュタグ:#BurpISTE

okuken

March 24, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
300
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
330
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
690
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
550
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
440
Dangerous usage of JNDI
okuken
0
370
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
380
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.8k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.3k

Other Decks in Technology

See All in Technology
フルカイテン株式会社 採用資料
fullkaiten
0
40k
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
110
ハイパーパラメータチューニングって何をしているの
toridori_dev
0
140
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.1k
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.3k
SSMRunbook作成の勘所_20241120
koichiotomo
2
130
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.6k
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
750
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
470

Featured

See All Featured
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Code Review Best Practice
trishagee
64
17k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
89
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
Gamification - CAS2011
davidbonilla
80
5k

Transcript

  1. Web脆弱性診断員を全集中へと導く Burp extension を作った話 ~ ISTE: Integrated Security Testing Environment

    ~ @okuken3 2021.03.24 第5回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. 前提  1-1. Webアプリケーション脆弱性診断とは  1-2. Webアプリケーション脆弱性診断の流れ  1-3. Burp

    extension とは 2. ISTE: Integrated Security Testing Environment  2-1. 背景  2-2. ISTE  2-2. デモ Agenda

  3. Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2. 業務パッケージベンダで開発  3.

    Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  自作 Burp extension を公開した  シン・エヴァ観た

  4. 1. 前提

  5. 1-1. Webアプリケーション脆弱性診断とは 脆弱性  悪用可能な不具合 脆弱性診断  診断対象に脆弱性が存在しないかを確認する診断 Webアプリケーション脆弱性診断  Webアプリケーションを対象とした脆弱性診断  脆弱性の例:SQLインジェクション、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリ

    (CSRF)

  6. 1-2. Webアプリケーション脆弱性診断の流れ 巡回  Webアプリケーションを巡回し、診断対象とする URL の一覧を作成する。 診断  診断対象の URL に対して脆弱性診断を実施する。

    報告  診断結果(検出した脆弱性や対策方法等)を報告する。

  7. 1-3. Burp extension とは Burp Suite  PortSwigger社製のWebアプリケーションセキュリティテスト用ツール。  プロキシとして動作し、HTTP通信の内容確認・編集が可能な GUI を提供する。

     有償の Professional エディションでは脆弱性スキャナ機能も提供している。 Burp extension  Burp Suite の拡張ポイントである Burp Extender を用いて開発された拡張機能。  拡張ポイントの API は一般公開されている (※1) ため、誰でも開発可能である。  PortSwigger社公認の extension は BApp Store (※2) で公開されている。 ※1 https://portswigger.net/burp/extender ※2 https://portswigger.net/bappstore

  8. 2. ISTE ~ Integrated Security Testing Environment ~

  9. 2-1. 背景 Excel形式の診断メモの辛み  ・レイアウト崩れ  ・条件付き書式の維持が煩雑  ・フィルタリング操作が煩雑  ・URL一覧と診断メモのダブルメンテ  ・診断メモ見返し時の生ログ探しの旅  …

  10. 純正Repeaterの履歴が見辛い  ・いつ、何を意図したリクエストか一目で判らない  ・URL一覧との紐付きがない 認可制御の診断が地味に面倒  ・単純作業に近いが手数がかかる  ・全自動だと逆に使い勝手が悪い  ⇒ アカウント指定リピート機能ぐらいが調度いい パラメータ引継ぎが煩雑  ・リピートする上でパラメータ引継ぎ作業が煩雑

     ・パラメータ引継ぎを組むならURL一覧と紐付けたい 2-1. 背景

  11. 2-2. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な

    Burp extension 2021年2月19日 公開 https://github.com/okuken/integrated-security-testing-environment

  12. 2-3. デモ 1. 基本の流れ 2. リピート 3. アカウント指定リピート 4. リクエストチェーン

    5. おまけ

  13. ご清聴ありがとうございました 感想やフィードバックは ハッシュタグ #BurpISTE で!