Slide 1

Slide 1 text

Web脆弱性診断員を全集中へと導く Burp extension を作った話 ~ ISTE: Integrated Security Testing Environment ~ @okuken3 2021.03.24 第5回 初心者のためのセキュリティ勉強会

Slide 2

Slide 2 text

0. 自己紹介 1. 前提  1-1. Webアプリケーション脆弱性診断とは  1-2. Webアプリケーション脆弱性診断の流れ  1-3. Burp extension とは 2. ISTE: Integrated Security Testing Environment  2-1. 背景  2-2. ISTE  2-2. デモ Agenda

Slide 3

Slide 3 text

Kenichi Okuno  Twitter: @okuken3 略歴  1. SIerで色々  2. 業務パッケージベンダで開発  3. Web事業会社でプロダクトセキュリティチーム立上げ  4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事  自作 Burp extension を公開した  シン・エヴァ観た

Slide 4

Slide 4 text

1. 前提

Slide 5

Slide 5 text

1-1. Webアプリケーション脆弱性診断とは 脆弱性  悪用可能な不具合 脆弱性診断  診断対象に脆弱性が存在しないかを確認する診断 Webアプリケーション脆弱性診断  Webアプリケーションを対象とした脆弱性診断  脆弱性の例:SQLインジェクション、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリ (CSRF)

Slide 6

Slide 6 text

1-2. Webアプリケーション脆弱性診断の流れ 巡回  Webアプリケーションを巡回し、診断対象とする URL の一覧を作成する。 診断  診断対象の URL に対して脆弱性診断を実施する。 報告  診断結果(検出した脆弱性や対策方法等)を報告する。

Slide 7

Slide 7 text

1-3. Burp extension とは Burp Suite  PortSwigger社製のWebアプリケーションセキュリティテスト用ツール。  プロキシとして動作し、HTTP通信の内容確認・編集が可能な GUI を提供する。  有償の Professional エディションでは脆弱性スキャナ機能も提供している。 Burp extension  Burp Suite の拡張ポイントである Burp Extender を用いて開発された拡張機能。  拡張ポイントの API は一般公開されている (※1) ため、誰でも開発可能である。  PortSwigger社公認の extension は BApp Store (※2) で公開されている。 ※1 https://portswigger.net/burp/extender ※2 https://portswigger.net/bappstore

Slide 8

Slide 8 text

2. ISTE ~ Integrated Security Testing Environment ~

Slide 9

Slide 9 text

2-1. 背景 Excel形式の診断メモの辛み  ・レイアウト崩れ  ・条件付き書式の維持が煩雑  ・フィルタリング操作が煩雑  ・URL一覧と診断メモのダブルメンテ  ・診断メモ見返し時の生ログ探しの旅  …

Slide 10

Slide 10 text

純正Repeaterの履歴が見辛い  ・いつ、何を意図したリクエストか一目で判らない  ・URL一覧との紐付きがない 認可制御の診断が地味に面倒  ・単純作業に近いが手数がかかる  ・全自動だと逆に使い勝手が悪い  ⇒ アカウント指定リピート機能ぐらいが調度いい パラメータ引継ぎが煩雑  ・リピートする上でパラメータ引継ぎ作業が煩雑  ・パラメータ引継ぎを組むならURL一覧と紐付けたい 2-1. 背景

Slide 11

Slide 11 text

2-2. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp extension 2021年2月19日 公開 https://github.com/okuken/integrated-security-testing-environment

Slide 12

Slide 12 text

2-3. デモ 1. 基本の流れ 2. リピート 3. アカウント指定リピート 4. リクエストチェーン 5. おまけ

Slide 13

Slide 13 text

ご清聴ありがとうございました 感想やフィードバックは ハッシュタグ #BurpISTE で!