Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Integrated Security Testing Environment~ / The story of Integrated Security Testing Environment

2c4ef0f20c4f05ca30e6c9917f0c17b6?s=47 okuken
March 24, 2021

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Integrated Security Testing Environment~ / The story of Integrated Security Testing Environment

Webアプリケーション脆弱性診断員を煩雑な作業から解放し、全集中へと導く Burp extension 「ISTE: Integrated Security Testing Environment」の開発背景の紹介と、READMEに沿ったデモをお見せします。
ハッシュタグ:#BurpISTE

2c4ef0f20c4f05ca30e6c9917f0c17b6?s=128

okuken

March 24, 2021
Tweet

Transcript

  1. Web脆弱性診断員を全集中へと導く Burp extension を作った話 ~ ISTE: Integrated Security Testing Environment

    ~ @okuken3 2021.03.24 第5回 初心者のためのセキュリティ勉強会
  2. 0. 自己紹介 1. 前提  1-1. Webアプリケーション脆弱性診断とは  1-2. Webアプリケーション脆弱性診断の流れ  1-3. Burp

    extension とは 2. ISTE: Integrated Security Testing Environment  2-1. 背景  2-2. ISTE  2-2. デモ Agenda
  3. Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2. 業務パッケージベンダで開発  3.

    Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  自作 Burp extension を公開した  シン・エヴァ観た
  4. 1. 前提

  5. 1-1. Webアプリケーション脆弱性診断とは 脆弱性  悪用可能な不具合 脆弱性診断  診断対象に脆弱性が存在しないかを確認する診断 Webアプリケーション脆弱性診断  Webアプリケーションを対象とした脆弱性診断  脆弱性の例:SQLインジェクション、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリ

    (CSRF)
  6. 1-2. Webアプリケーション脆弱性診断の流れ 巡回  Webアプリケーションを巡回し、診断対象とする URL の一覧を作成する。 診断  診断対象の URL に対して脆弱性診断を実施する。

    報告  診断結果(検出した脆弱性や対策方法等)を報告する。
  7. 1-3. Burp extension とは Burp Suite  PortSwigger社製のWebアプリケーションセキュリティテスト用ツール。  プロキシとして動作し、HTTP通信の内容確認・編集が可能な GUI を提供する。

     有償の Professional エディションでは脆弱性スキャナ機能も提供している。 Burp extension  Burp Suite の拡張ポイントである Burp Extender を用いて開発された拡張機能。  拡張ポイントの API は一般公開されている (※1) ため、誰でも開発可能である。  PortSwigger社公認の extension は BApp Store (※2) で公開されている。 ※1 https://portswigger.net/burp/extender ※2 https://portswigger.net/bappstore
  8. 2. ISTE ~ Integrated Security Testing Environment ~

  9. 2-1. 背景 Excel形式の診断メモの辛み  ・レイアウト崩れ  ・条件付き書式の維持が煩雑  ・フィルタリング操作が煩雑  ・URL一覧と診断メモのダブルメンテ  ・診断メモ見返し時の生ログ探しの旅  …

  10. 純正Repeaterの履歴が見辛い  ・いつ、何を意図したリクエストか一目で判らない  ・URL一覧との紐付きがない 認可制御の診断が地味に面倒  ・単純作業に近いが手数がかかる  ・全自動だと逆に使い勝手が悪い  ⇒ アカウント指定リピート機能ぐらいが調度いい パラメータ引継ぎが煩雑  ・リピートする上でパラメータ引継ぎ作業が煩雑

     ・パラメータ引継ぎを組むならURL一覧と紐付けたい 2-1. 背景
  11. 2-2. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な

    Burp extension 2021年2月19日 公開 https://github.com/okuken/integrated-security-testing-environment
  12. 2-3. デモ 1. 基本の流れ 2. リピート 3. アカウント指定リピート 4. リクエストチェーン

    5. おまけ
  13. ご清聴ありがとうございました 感想やフィードバックは ハッシュタグ #BurpISTE で!