Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Integrated Security Testing Environment~ / The story of Integrated Security Testing Environment

okuken
March 24, 2021
Technology
0
900

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Integrated Security Testing Environment~ / The story of Integrated Security Testing Environment

Webアプリケーション脆弱性診断員を煩雑な作業から解放し、全集中へと導く Burp extension 「ISTE: Integrated Security Testing Environment」の開発背景の紹介と、READMEに沿ったデモをお見せします。
ハッシュタグ:#BurpISTE

okuken

March 24, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
240
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
290
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
610
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
500
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
360
Dangerous usage of JNDI
okuken
0
340
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
360
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.7k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.1k

Other Decks in Technology

See All in Technology
コンテナセキュリティの基本と脅威への対策
kyohmizu
2
310
エンタープライズ環境下での Active Directory の運用 TIPS
tamaiyutaro
1
1.2k
Discord とビルダー&チャットボットの使い方 / How to use Discord and Builder & Chatbots
ks91
PRO
0
130
インシデントレスポンスのライフサイクルを廻すポイントってなに / Pinpoints of Incidentresponse Lifecycle for Operation
sakaitakeshi
0
260
20240330_LT資料「エンジニアに求められるマネジメント」
kc_nakanishi
0
110
Pedestrian-Centric大規模交通安全映像解析向けWoven Traffic Safety (WTS) データセットの紹介
kbuster
0
140
Microsoft Cloudで 開発ライフサイクルを保護する
kkamegawa
0
130
Oracle Exadata Database Service on Cloud@Customer (ExaDB-C@C) - UI スクリーン・キャプチャ集
oracle4engineer
PRO
1
1.1k
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
1
2.8k
少数チームで挑む: SwiftUI, TCA, KMPを用いた 新規動画配信アプリ 「ABEMA Live」の開発について
tomu28
0
330
RustでGISなOSS
nokonoko1203
1
170
キャラクター制御のためのプロンプト術 for LINE Bot
uezo
0
480

Featured

See All Featured
How To Stay Up To Date on Web Technology
chriscoyier
781
250k
What the flash - Photography Introduction
edds
64
11k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
118
38k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
272
12k
RailsConf 2023
tenderlove
0
530
Dealing with People You Can't Stand - Big Design 2015
cassininazir
355
22k
The Art of Programming - Codeland 2020
erikaheidi
41
12k
The Language of Interfaces
destraynor
151
23k
Pencils Down: Stop Designing & Start Developing
hursman
115
11k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
319
20k
Docker and Python
trallard
33
2.7k

Transcript

  1. Web脆弱性診断員を全集中へと導く Burp extension を作った話 ~ ISTE: Integrated Security Testing Environment

    ~ @okuken3 2021.03.24 第5回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. 前提  1-1. Webアプリケーション脆弱性診断とは  1-2. Webアプリケーション脆弱性診断の流れ  1-3. Burp

    extension とは 2. ISTE: Integrated Security Testing Environment  2-1. 背景  2-2. ISTE  2-2. デモ Agenda

  3. Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2. 業務パッケージベンダで開発  3.

    Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  自作 Burp extension を公開した  シン・エヴァ観た

  4. 1. 前提

  5. 1-1. Webアプリケーション脆弱性診断とは 脆弱性  悪用可能な不具合 脆弱性診断  診断対象に脆弱性が存在しないかを確認する診断 Webアプリケーション脆弱性診断  Webアプリケーションを対象とした脆弱性診断  脆弱性の例:SQLインジェクション、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリ

    (CSRF)

  6. 1-2. Webアプリケーション脆弱性診断の流れ 巡回  Webアプリケーションを巡回し、診断対象とする URL の一覧を作成する。 診断  診断対象の URL に対して脆弱性診断を実施する。

    報告  診断結果(検出した脆弱性や対策方法等)を報告する。

  7. 1-3. Burp extension とは Burp Suite  PortSwigger社製のWebアプリケーションセキュリティテスト用ツール。  プロキシとして動作し、HTTP通信の内容確認・編集が可能な GUI を提供する。

     有償の Professional エディションでは脆弱性スキャナ機能も提供している。 Burp extension  Burp Suite の拡張ポイントである Burp Extender を用いて開発された拡張機能。  拡張ポイントの API は一般公開されている (※1) ため、誰でも開発可能である。  PortSwigger社公認の extension は BApp Store (※2) で公開されている。 ※1 https://portswigger.net/burp/extender ※2 https://portswigger.net/bappstore

  8. 2. ISTE ~ Integrated Security Testing Environment ~

  9. 2-1. 背景 Excel形式の診断メモの辛み  ・レイアウト崩れ  ・条件付き書式の維持が煩雑  ・フィルタリング操作が煩雑  ・URL一覧と診断メモのダブルメンテ  ・診断メモ見返し時の生ログ探しの旅  …

  10. 純正Repeaterの履歴が見辛い  ・いつ、何を意図したリクエストか一目で判らない  ・URL一覧との紐付きがない 認可制御の診断が地味に面倒  ・単純作業に近いが手数がかかる  ・全自動だと逆に使い勝手が悪い  ⇒ アカウント指定リピート機能ぐらいが調度いい パラメータ引継ぎが煩雑  ・リピートする上でパラメータ引継ぎ作業が煩雑

     ・パラメータ引継ぎを組むならURL一覧と紐付けたい 2-1. 背景

  11. 2-2. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な

    Burp extension 2021年2月19日 公開 https://github.com/okuken/integrated-security-testing-environment

  12. 2-3. デモ 1. 基本の流れ 2. リピート 3. アカウント指定リピート 4. リクエストチェーン

    5. おまけ

  13. ご清聴ありがとうございました 感想やフィードバックは ハッシュタグ #BurpISTE で!