Slide 1

Slide 1 text

全集中Burp extension ISTE v0.5.0   Request chain の躍進 @okuken3 2022.09.27 第23回 初心者のためのセキュリティ勉強会

Slide 2

Slide 2 text

0. 自己紹介 1. ISTE とは 2. ISTE v0.5.0 の新機能 3. ISTE v0.5.0 の改善点 4. お知らせ 5. まとめ Agenda

Slide 3

Slide 3 text

Kenichi Okuno  Twitter: @okuken3 自己紹介 ・セキュリティエンジニア ・三井物産セキュアディレクション(MBSD)所属 ・主にWebアプリケーション脆弱性診断を担当 ・趣味で全集中Burp extension ISTEを開発 ・過去職ではWebアプリ開発やプロダクトセキュリティなど ※発言や記載内容は個人の見解です 最近の出来事/一言 ・ISTEコミュニティのDiscord移行完了! ・ISTE v0.5.0 リリース!(2022/09/22)

Slide 4

Slide 4 text

ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp extension 2021年2月19日 公開 (v0.1.0) https://github.com/okuken/integrated-security-testing-environment

Slide 5

Slide 5 text

ISTE v0.5.0 の新機能 機能 概要 起動経路 Aboutタブ ISTEの現行バージョンの表示、および最新バージョンの チェック機能を提供。「Auto check」をONにすること で、ISTE起動時に自動でチェックすることも可能。 ISTE > About

Slide 6

Slide 6 text

分類 改善点 実行制御 ・ノンストップ実行に加え、ステップ実行、ブレークポイントの設定をサポート。 ・特定のリクエストをスキップしたり、繰り返し実行することも可能に。 ・ブレークポイントは認証用チェーンにも設定可能(SMS認証等への対応を想定)。 設定の容易さ ・URL一覧で選択した複数リクエストからチェーンを作成する導線を追加。 ・Cookieやトークンの引継ぎ設定を半自動で登録する機能を追加(実験的)。 設定の柔軟性 ・引継ぎ設定で参照できる事前定義変数(Preset vars)をサポート。 UI ・チェーンノードのナビゲータを追加。 ・メッセージエディタのレイアウト設定を追加。 ・キーボードニーモニックを設定。 ISTE v0.5.0 の改善点(Request chain) ※主要な改善点のみ記載。詳細はリリースノート、およびREADMEの「リクエストチェーンの使用」の項を参照のこと。 https://github.com/okuken/integrated-security-testing-environment/releases/tag/v0.5.0 https://github.com/okuken/integrated-security-testing-environment/blob/master/README.ja.md

Slide 7

Slide 7 text

※ OWASP Mutillidae II のリクエスト/レスポンスを一部改変して例示

Slide 8

Slide 8 text

お知らせ

Slide 9

Slide 9 text

日程:2022/10/11(火) 20:00-21:00 場所:オンライン(Google Meet)※ログイン不要でご参加いただけます 内容:ISTEのご紹介、v0.5.0のご紹介、デモ、質疑応答 https://burp-iste.connpass.com/event/261436/

Slide 10

Slide 10 text

対象者 :ISTEに興味をお持ちの方ならどなたでも 参加方法:下記の招待リンクからお気軽にご参加ください! https://discord.gg/tRS9MGFVG2 ISTEコミュニティを Discord へ移行しました!

Slide 11

Slide 11 text

ISTE v0.5.0 で躍進したRequest chainのデモ、もっと見たかったな…  ⇒ ISTE勉強会 第1回 へようこそ! ISTEコミュニティでのやりとり、90日で消えちゃうなんて辛いよな…  ⇒ 安心してください。Discordへ移行済みですよ!! まとめ

Slide 12

Slide 12 text

No content