Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Int...

okuken
March 24, 2021

Web脆弱性診断員を全集中へと導くBurp extensionを作った話 ~ISTE: Integrated Security Testing Environment~ / The story of Integrated Security Testing Environment

Webアプリケーション脆弱性診断員を煩雑な作業から解放し、全集中へと導く Burp extension 「ISTE: Integrated Security Testing Environment」の開発背景の紹介と、READMEに沿ったデモをお見せします。
ハッシュタグ:#BurpISTE

okuken

March 24, 2021
Tweet

More Decks by okuken

Other Decks in Technology

Transcript

  1. Web脆弱性診断員を全集中へと導く Burp extension を作った話 ~ ISTE: Integrated Security Testing Environment

    ~ @okuken3 2021.03.24 第5回 初心者のためのセキュリティ勉強会
  2. 0. 自己紹介 1. 前提  1-1. Webアプリケーション脆弱性診断とは  1-2. Webアプリケーション脆弱性診断の流れ  1-3. Burp

    extension とは 2. ISTE: Integrated Security Testing Environment  2-1. 背景  2-2. ISTE  2-2. デモ Agenda
  3. Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2. 業務パッケージベンダで開発  3.

    Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  自作 Burp extension を公開した  シン・エヴァ観た
  4. 1-3. Burp extension とは Burp Suite  PortSwigger社製のWebアプリケーションセキュリティテスト用ツール。  プロキシとして動作し、HTTP通信の内容確認・編集が可能な GUI を提供する。

     有償の Professional エディションでは脆弱性スキャナ機能も提供している。 Burp extension  Burp Suite の拡張ポイントである Burp Extender を用いて開発された拡張機能。  拡張ポイントの API は一般公開されている (※1) ため、誰でも開発可能である。  PortSwigger社公認の extension は BApp Store (※2) で公開されている。 ※1 https://portswigger.net/burp/extender ※2 https://portswigger.net/bappstore