#BurpISTEで！SECCON Beginners CTF 2021 Web問に全集中した話 / ctf4b 2021 with ISTE

by okuken

Slide 1

Slide 1 text

＼#BurpISTE で！／ SECCON Beginners CTF 2021 Web問に全集中した話 @okuken3 2021.05.27 第７回初心者のためのセキュリティ勉強会

Slide 2

Slide 2 text

0. 自己紹介 1. SECCON Beginners CTF 2021 with ISTE 2. 今月のISTE (v0.3.0) 3. まとめ Agenda

Slide 3

Slide 3 text

Kenichi Okuno 　Twitter: @okuken3 略歴　1. SIerで色々　2. 業務パッケージベンダで開発　3. Web事業会社でプロダクトセキュリティチーム立上げ　4. 情報セキュリティサービス会社でWeb脆弱性診断最近の出来事　・ISTE v0.3.0 公開　・1年ぶりのCTF参戦 (with ISTE)

Slide 4

Slide 4 text

ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を煩雑な作業から解放し全集中へと導く全部入り環境な Burp extension 2021年2月19日公開 (v0.1.0) https://github.com/okuken/integrated-security-testing-environment 再掲

Slide 5

Slide 5 text

SECCON Beginners CTF 2021 with ISTE

Slide 6

Slide 6 text

https://score.beginners.azure.noc.seccon.jp/rules/

Slide 7

Slide 7 text

１．osoba （想定難易度: Beginner）２．Werewolf （想定難易度: Easy）３．check_url （想定難易度: Easy）４．json （想定難易度: Medium）５．cant_use_db （想定難易度: Medium）６．magic （想定難易度: Hard） Web問は全6問

Slide 8

Slide 8 text

SECCON Beginners CTF 2021 Web問Writeup ～全集中ExtensionでCTFでも全集中～ https://qiita.com/okuken/items/e504cfa8bdac750baca1 すべてをここに置いてきた！

Slide 9

Slide 9 text

１．osoba （想定難易度: Beginner）

Slide 10

Slide 10 text

1. osoba (想定難易度: Beginner)

Slide 11

Slide 11 text

1. osoba (想定難易度: Beginner)

Slide 12

Slide 12 text

1. osoba (想定難易度: Beginner)

Slide 13

Slide 13 text

２．Werewolf （想定難易度: Easy）

Slide 14

Slide 14 text

2. Werewolf（想定難易度: Easy）

Slide 15

Slide 15 text

2. Werewolf（想定難易度: Easy）

Slide 16

Slide 16 text

2. Werewolf（想定難易度: Easy）

Slide 17

Slide 17 text

３．check_url （想定難易度: Easy）

Slide 18

Slide 18 text

3. check_url（想定難易度: Easy）

Slide 19

Slide 19 text

3. check_url（想定難易度: Easy）

Slide 20

Slide 20 text

3. check_url（想定難易度: Easy）

Slide 21

Slide 21 text

４．json （想定難易度: Medium）

Slide 22

Slide 22 text

4. json（想定難易度: Medium）

Slide 23

Slide 23 text

4. json（想定難易度: Medium）

Slide 24

Slide 24 text

4. json（想定難易度: Medium）

Slide 25

Slide 25 text

５．cant_use_db （想定難易度: Medium）

Slide 26

Slide 26 text

5. cant_use_db（想定難易度: Medium）

Slide 27

Slide 27 text

5. cant_use_db（想定難易度: Medium）

Slide 28

Slide 28 text

5. cant_use_db（想定難易度: Medium）

Slide 29

Slide 29 text

６．magic （想定難易度: Hard） ※競技終了後に実施

Slide 30

Slide 30 text

6. magic（想定難易度: Hard）

Slide 31

Slide 31 text

6. magic（想定難易度: Hard）

Slide 32

Slide 32 text

6. magic（想定難易度: Hard）

Slide 33

Slide 33 text

6. magic（想定難易度: Hard）

Slide 34

Slide 34 text

6. magic（想定難易度: Hard）

Slide 35

Slide 35 text

6. magic（想定難易度: Hard）

Slide 36

Slide 36 text

6. magic（想定難易度: Hard）

Slide 37

Slide 37 text

6. magic（想定難易度: Hard）

Slide 38

Slide 38 text

今月のISTE - v0.3.0 -

Slide 39

Slide 39 text

ISTE v0.3.0 の新機能機能概要起動経路 Dark theme のサポート Burp Suite本体が2020.11.2verでDark themeを導入したが1、Dark theme使用時にISTEの視認性が著しく悪化する問題があったため、ISTE側にもDark theme 設定を追加することで対応した。 ISTE > Options > User options > Misc > Theme ISTE Plugin API の提供 ISTE本体に実装し得ない機能(例：自作アプリとの連携機能)を開発するための拡張ポイントを提供。v0.3.0でAPIを刷新・外部化し、リポジトリで公開した。 ISTE > Plugins ※ISTE Plugin API： https://github.com/okuken/iste-plugin-api 1 https://portswigger.net/burp/releases/professional-community-2020-11-2

Slide 40

Slide 40 text

Dark theme

Slide 41

Slide 41 text

ISTE で CTF(Web問) でも全集中しよう！ ISTE、ダークテーマ対応してないんだってよ。　⇒ v0.3.0で対応！ダークテーマに縛られて一歩踏み出せなかった方も是非！まとめ＼ISTEでWeb診断員を全集中へ／ GitHubスターで応援お願いします！目標：5月中に50スター達成

Slide 42

Slide 42 text

ご清聴ありがとうございました