Web脆弱性診断員を全集中へと導く Burp extension を作った話 ～ ISTE: Integrated Security Testing Environment ～ @okuken3 2021.03.24 第５回 初心者のためのセキュリティ勉強会 

0. 自己紹介 1. 前提 　1-1. Webアプリケーション脆弱性診断とは 　1-2. Webアプリケーション脆弱性診断の流れ 　1-3. Burp extension とは 2. ISTE: Integrated Security Testing Environment 　2-1. 背景 　2-2. ISTE 　2-2. デモ Agenda 

Kenichi Okuno 　Twitter: @okuken3 略歴 　1. SIerで色々 　2. 業務パッケージベンダで開発 　3. Web事業会社でプロダクトセキュリティチーム立上げ 　4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事 　自作 Burp extension を公開した 　シン・エヴァ観た 

1. 前提 

1-1. Webアプリケーション脆弱性診断とは 脆弱性 　悪用可能な不具合 脆弱性診断 　診断対象に脆弱性が存在しないかを確認する診断 Webアプリケーション脆弱性診断 　Webアプリケーションを対象とした脆弱性診断 　脆弱性の例：SQLインジェクション、クロスサイトスクリプティング (XSS)、クロスサイトリクエストフォージェリ (CSRF) 

1-2. Webアプリケーション脆弱性診断の流れ 巡回 　Webアプリケーションを巡回し、診断対象とする URL の一覧を作成する。 診断 　診断対象の URL に対して脆弱性診断を実施する。 報告 　診断結果（検出した脆弱性や対策方法等）を報告する。 

1-3. Burp extension とは Burp Suite 　PortSwigger社製のWebアプリケーションセキュリティテスト用ツール。 　プロキシとして動作し、HTTP通信の内容確認・編集が可能な GUI を提供する。 　有償の Professional エディションでは脆弱性スキャナ機能も提供している。 Burp extension 　Burp Suite の拡張ポイントである Burp Extender を用いて開発された拡張機能。 　拡張ポイントの API は一般公開されている (※1) ため、誰でも開発可能である。 　PortSwigger社公認の extension は BApp Store (※2) で公開されている。 ※1 https://portswigger.net/burp/extender ※2 https://portswigger.net/bappstore 

2. ISTE ～ Integrated Security Testing Environment ～ 

2-1. 背景 Excel形式の診断メモの辛み 　・レイアウト崩れ 　・条件付き書式の維持が煩雑 　・フィルタリング操作が煩雑 　・URL一覧と診断メモのダブルメンテ 　・診断メモ見返し時の生ログ探しの旅 　… 

純正Repeaterの履歴が見辛い 　・いつ、何を意図したリクエストか一目で判らない 　・URL一覧との紐付きがない 認可制御の診断が地味に面倒 　・単純作業に近いが手数がかかる 　・全自動だと逆に使い勝手が悪い 　⇒ アカウント指定リピート機能ぐらいが調度いい パラメータ引継ぎが煩雑 　・リピートする上でパラメータ引継ぎ作業が煩雑 　・パラメータ引継ぎを組むならURL一覧と紐付けたい 2-1. 背景 

2-2. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp extension 2021年2月19日 公開 https://github.com/okuken/integrated-security-testing-environment 

2-3. デモ 1. 基本の流れ 2. リピート 3. アカウント指定リピート 4. リクエストチェーン 5. おまけ 

ご清聴ありがとうございました 感想やフィードバックは ハッシュタグ #BurpISTE で！