Enviar búsqueda
Cargar
Bapp Storeを調べてみたよ!
•
3 recomendaciones
•
3,600 vistas
Z
zaki4649
Seguir
2018/7/5に第2回Burp Suite Japan LT Carnivalで登壇した時の資料です。
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 14
Recomendados
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
Recomendados
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
Linux女子部 systemd徹底入門
Linux女子部 systemd徹底入門
Etsuji Nakai
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
SQLインジェクション総”習”編
SQLインジェクション総”習”編
Yasuo Ohgaki
Nmapの真実
Nmapの真実
abend_cve_9999_0001
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
Dockerイメージ管理の内部構造
Dockerイメージ管理の内部構造
Etsuji Nakai
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
Burp Suite 2.0触ってみた
Burp Suite 2.0触ってみた
Yu Iwama
ランサムウェアのおはなし
ランサムウェアのおはなし
Shiojiri Ohhara
バグハンターの哀しみ
バグハンターの哀しみ
Masato Kinugawa
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
「関心の分離」と「疎結合」 ソフトウェアアーキテクチャのひとかけら
「関心の分離」と「疎結合」 ソフトウェアアーキテクチャのひとかけら
Atsushi Nakamura
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
NTT DATA Technology & Innovation
イマドキのExcelスクショの撮り方
イマドキのExcelスクショの撮り方
Yoshitaka Kawashima
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
naoki koyama
Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方
Taku Miyakawa
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
BurpSuiteの大変な一日
BurpSuiteの大変な一日
zaki4649
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
Más contenido relacionado
La actualidad más candente
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
SQLインジェクション総”習”編
SQLインジェクション総”習”編
Yasuo Ohgaki
Nmapの真実
Nmapの真実
abend_cve_9999_0001
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
Dockerイメージ管理の内部構造
Dockerイメージ管理の内部構造
Etsuji Nakai
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
Burp Suite 2.0触ってみた
Burp Suite 2.0触ってみた
Yu Iwama
ランサムウェアのおはなし
ランサムウェアのおはなし
Shiojiri Ohhara
バグハンターの哀しみ
バグハンターの哀しみ
Masato Kinugawa
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
「関心の分離」と「疎結合」 ソフトウェアアーキテクチャのひとかけら
「関心の分離」と「疎結合」 ソフトウェアアーキテクチャのひとかけら
Atsushi Nakamura
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
NTT DATA Technology & Innovation
イマドキのExcelスクショの撮り方
イマドキのExcelスクショの撮り方
Yoshitaka Kawashima
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
naoki koyama
Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方
Taku Miyakawa
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
La actualidad más candente
(20)
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
SQLインジェクション総”習”編
SQLインジェクション総”習”編
Nmapの真実
Nmapの真実
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Dockerイメージ管理の内部構造
Dockerイメージ管理の内部構造
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
Burp Suite 2.0触ってみた
Burp Suite 2.0触ってみた
ランサムウェアのおはなし
ランサムウェアのおはなし
バグハンターの哀しみ
バグハンターの哀しみ
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
「関心の分離」と「疎結合」 ソフトウェアアーキテクチャのひとかけら
「関心の分離」と「疎結合」 ソフトウェアアーキテクチャのひとかけら
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
Keycloak拡張入門
Keycloak拡張入門
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
イマドキのExcelスクショの撮り方
イマドキのExcelスクショの撮り方
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
WebSocket / WebRTCの技術紹介
WebSocket / WebRTCの技術紹介
Similar a Bapp Storeを調べてみたよ!
BurpSuiteの大変な一日
BurpSuiteの大変な一日
zaki4649
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
Yusuke Yamamoto
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Toshiaki Maki
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Kazuko Shikiya
Similar a Bapp Storeを調べてみたよ!
(6)
BurpSuiteの大変な一日
BurpSuiteの大変な一日
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Más de zaki4649
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
とある診断員とAWS
とある診断員とAWS
zaki4649
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
Proxy War
Proxy War
zaki4649
とある診断員のSECCONオンライン予選
とある診断員のSECCONオンライン予選
zaki4649
はじめてのWi-Fiクラック
はじめてのWi-Fiクラック
zaki4649
Más de zaki4649
(6)
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
とある診断員とAWS
とある診断員とAWS
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
Proxy War
Proxy War
とある診断員のSECCONオンライン予選
とある診断員のSECCONオンライン予選
はじめてのWi-Fiクラック
はじめてのWi-Fiクラック
Último
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Último
(10)
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Bapp Storeを調べてみたよ!
1.
Bapp Store を調べてみた! @tigerszk 第2回 Burp
Suite Japan LT Carnival 2018/7/5
2.
自己紹介 Shun Suzaki(洲崎 俊) ITイベントの参加・開催や日々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア Twitter: とある診断員@tigerszk •
ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
3.
BappStoreって? • Burpの機能を拡張するためのBurp Extenderを配布するための portswigger公式のレポジトリ •
BurpのUIから利用でき、ワンタッチで機能をインストールで きる • Web経由でダウンロードすることもできる • 申請すれば、誰でもExtenderを配布できるっぽい
4.
自分で評価もできる
5.
今一体いくつくらいあるの? そういや、しばらく見てなかったけど 今どれくらいExtenderって公開されてい るんだろ?
6.
調べてみたら、なんと… 169個も公開されてた!! ※2018年7月5日時点の集計
7.
というわけで、いい機会だから とりあえず上から見ていきました ※今回説明は読みましたが全部はとても動作検証できませんでしたorz…
8.
1. Active Scan++ 公式が出している、Burpのアクティブスキャン機能とパッシブ スキャン機能を拡張するExtender 2.
J2EEScan J2EEアプリケーションに特化したBurpのスキャン機能を拡張 するExtender 3. Retire.js Retire.jsのBurp版。脆弱なJavaScriptライブラリを見つけ出す ためのExtender 4. JSON Beautifier HTTPメッセージビューアでJSONコンテンツを読みやすく出力 してくれるExtender 5. Software Vulnerability Scanner Vulners.com APIを使用したソフトウェアバージョンの脆弱性 をスキャンしてくれるExtender Popularity Top 10 便利!おススメ 便利!おススメ
9.
Popularity Top 10 6.
Backslash Powered Scanner 公式が出している、以下のBlogの手法を用いてインジェクション 脆弱性を検出するためのExtender 参照:https://portswigger.net/blog/backslash-powered-scanning-hunting- unknown-vulnerability-classes 7. CSRF Scanner CSRFをPassiveスキャンで検知するのに利用できるExtender 8. Java Deserialization Scanner Javaのデシリアライゼーションの脆弱性を検出するための Extender 9. Additional Scanner Checks BurpSuiteには標準搭載されていないパッシブスキャナのチェック を追加するExtender DOMベースのXSS・HTTPヘッダ関連など 10. CO2 Wep Pentestに役立つBurpの機能を拡張するためのさまざまなモ ジュールの詰め合わせセット オモロいのでちょっと紹介w
10.
個人的に便利かなと思ったもの • Logger++ Proxy、Repeater、Scannerなどのリクエスト/レ スポンスが一覧で参照可能、ログの保存も可能な Extender • Paramalyzer スコープの対象内について、パラメータと送信した 値などを集計してくれるExtender •
Reissue Request Scripter HTTP historyタブの通信を送信する script(Python,Ruby,Perl,PHP,PowerShell,Javascr iptなど)を自動的に生成してくれる ※Copy as 〇〇という似たようなExtenderシリー ズもあるっぽい。
11.
こんなのもあった • mine-sweeper 悪意ある仮想通貨マイニングドメインから読み こまれているスクリプトを検出するための Extender • Image
Location & Privacy Scanner 画像内のGPS情報や埋め込まれたプライバシー 関連の情報をPassiveスキャンで検知する Extender • Yara その名の通りYaraと連携するためのExtender
12.
それ別にBurpでじゃなくても… • Burp Chat XMPP/Jabberを利用してなんとBurp上で チャットするExtenderらしい •
Notes その名の通り、Burp上でメモするための Extender。なんと表も書ける。 • CVSS Calculator Burp上でCVSS v2 及び v3 scoresのスコア値 を算出できるExtender
13.
まとめ • 全部はとても試しきれなかったので、今回気に なったものを後で色々試したい! • なんでも感でもBurp上でやろう感が満載な Extenderとかがあって面白かったw •
あなたのお好みのExtenderがあるかもしれな いのでのぞいてみてはいかがでしょうか?