Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Int...

okuken
March 24, 2021
Technology
0
940

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Integrated Security Testing Environment~ / The story of Integrated Security Testing Environment

Webアプリケーション脆弱性診断員を煩雑な作業から解放し、全集中へと導く Burp extension 「ISTE: Integrated Security Testing Environment」の開発背景の紹介と、READMEに沿ったデモをお見せします。
ハッシュタグ:#BurpISTE

okuken

March 24, 2021
Tweet

More Decks by okuken

See All by okuken
全集中Burp extension ISTE勉強会 第1回 / Burp ISTE study 01
okuken
0
290
全集中Burp extension ISTE v0.5.0 ー Request chain の躍進 / Burp extension ISTE v050
okuken
0
330
DOM Invader - prototype pollution対応の衝撃 - / DOM Invader - prototype pollution
okuken
0
680
npm Security ー サプライチェーン攻撃の観点から ー
okuken
1
550
全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary
okuken
0
440
Dangerous usage of JNDI
okuken
0
360
全集中 Burp extension ISTE v0.4リリース / Burp extension ISTE v0.4
okuken
0
380
Web Messaging のセキュリティ - DOM Invaderを添えて - / Web Messaging Security
okuken
0
2.8k
DOM Invader - Burp Suiteの新機能でJavaScriptに立ち向かう - / DOM Invader
okuken
0
1.3k

Other Decks in Technology

See All in Technology
LeSSに潜む「隠れWF病」とその処方箋
lycorptech_jp
PRO
2
120
Datachain会社紹介資料(2024年11月) / Company Deck
datachain
3
16k
物価高なラスベガスでの過ごし方
zakky
0
380
マネジメント視点でのre:Invent参加 ~もしCEOがre:Inventに行ったら~
kojiasai
0
470
急成長中のWINTICKETにおける品質と開発スピードと向き合ったQA戦略と今後の展望 / winticket-autify
cyberagentdevelopers
PRO
1
160
Commitment vs Harrisonism - Keynote for Scrum Niseko 2024
miholovesq
6
1.1k
30万人が利用するチャットをFirebase Realtime DatabaseからActionCableへ移行する方法
ryosk7
5
350
国土交通省 データコンペ参加者向け勉強会
takehikohashimoto
0
120
ユーザーの購買行動モデリングとその分析 / dsc-purchase-analysis
cyberagentdevelopers
PRO
2
100
Shift-from-React-to-Vue
calm1205
3
1.3k
新R25、乃木坂46 Mobileなどのファンビジネスを支えるマルチテナンシーなプラットフォームの全体像 / cam-multi-cloud
cyberagentdevelopers
PRO
1
130
Autify Company Deck
autifyhq
1
39k

Featured

See All Featured
Measuring & Analyzing Core Web Vitals
bluesmoon
1
41
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
355
29k
Into the Great Unknown - MozCon
thekraken
31
1.5k
Automating Front-end Workflow
addyosmani
1365
200k
Scaling GitHub
holman
458
140k
The Invisible Side of Design
smashingmag
297
50k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
BBQ
matthewcrist
85
9.3k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Teambox: Starting and Learning
jrom
132
8.7k

Transcript

  1. Web脆弱性診断員を全集中へと導く Burp extension を作った話 ~ ISTE: Integrated Security Testing Environment

    ~ @okuken3 2021.03.24 第5回 初心者のためのセキュリティ勉強会

  2. 0. 自己紹介 1. 前提  1-1. Webアプリケーション脆弱性診断とは  1-2. Webアプリケーション脆弱性診断の流れ  1-3. Burp

    extension とは 2. ISTE: Integrated Security Testing Environment  2-1. 背景  2-2. ISTE  2-2. デモ Agenda

  3. Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2. 業務パッケージベンダで開発  3.

    Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  自作 Burp extension を公開した  シン・エヴァ観た

  4. 1. 前提

  5. 1-1. Webアプリケーション脆弱性診断とは 脆弱性  悪用可能な不具合 脆弱性診断  診断対象に脆弱性が存在しないかを確認する診断 Webアプリケーション脆弱性診断  Webアプリケーションを対象とした脆弱性診断  脆弱性の例:SQLインジェクション、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリ

    (CSRF)

  6. 1-2. Webアプリケーション脆弱性診断の流れ 巡回  Webアプリケーションを巡回し、診断対象とする URL の一覧を作成する。 診断  診断対象の URL に対して脆弱性診断を実施する。

    報告  診断結果(検出した脆弱性や対策方法等)を報告する。

  7. 1-3. Burp extension とは Burp Suite  PortSwigger社製のWebアプリケーションセキュリティテスト用ツール。  プロキシとして動作し、HTTP通信の内容確認・編集が可能な GUI を提供する。

     有償の Professional エディションでは脆弱性スキャナ機能も提供している。 Burp extension  Burp Suite の拡張ポイントである Burp Extender を用いて開発された拡張機能。  拡張ポイントの API は一般公開されている (※1) ため、誰でも開発可能である。  PortSwigger社公認の extension は BApp Store (※2) で公開されている。 ※1 https://portswigger.net/burp/extender ※2 https://portswigger.net/bappstore

  8. 2. ISTE ~ Integrated Security Testing Environment ~

  9. 2-1. 背景 Excel形式の診断メモの辛み  ・レイアウト崩れ  ・条件付き書式の維持が煩雑  ・フィルタリング操作が煩雑  ・URL一覧と診断メモのダブルメンテ  ・診断メモ見返し時の生ログ探しの旅  …

  10. 純正Repeaterの履歴が見辛い  ・いつ、何を意図したリクエストか一目で判らない  ・URL一覧との紐付きがない 認可制御の診断が地味に面倒  ・単純作業に近いが手数がかかる  ・全自動だと逆に使い勝手が悪い  ⇒ アカウント指定リピート機能ぐらいが調度いい パラメータ引継ぎが煩雑  ・リピートする上でパラメータ引継ぎ作業が煩雑

     ・パラメータ引継ぎを組むならURL一覧と紐付けたい 2-1. 背景

  11. 2-2. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な

    Burp extension 2021年2月19日 公開 https://github.com/okuken/integrated-security-testing-environment

  12. 2-3. デモ 1. 基本の流れ 2. リピート 3. アカウント指定リピート 4. リクエストチェーン

    5. おまけ

  13. ご清聴ありがとうございました 感想やフィードバックは ハッシュタグ #BurpISTE で!