Se ha denunciado esta presentación.
Se está descargando tu SlideShare. ×

最近のBurp Suiteについて調べてみた

18 de nov de 2016
11 recomendaciones 9.968 visualizaciones
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Próximo SlideShare
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Cargando en…3
×

Eche un vistazo a continuación

AWSのログ管理ベストプラクティス
Akihiro Kuwano
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Shuto Suzuki
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
Prometheus入門から運用まで徹底解説
貴仁 大和屋
Amazon GameLift FlexMatch
Amazon Web Services Japan
Azure AD による Web API の 保護
junichi anno
GraphQLのsubscriptionで出来ること
Shingo Fukui
世界一わかりやすいClean Architecture
Atsushi Nakamura
1 de 37 Anuncio

最近のBurp Suiteについて調べてみた

18 de nov de 2016
11 recomendaciones 9.968 visualizaciones

Descargar para leer sin conexión

Tecnología

2016/11/18にBurp Suite Japan LT Carnivalで登壇した時の資料です。

2016/11/18にBurp Suite Japan LT Carnivalで登壇した時の資料です。

Tecnología
Anuncio

Recomendado

実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
20.9k vistas
28 diapositivas
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
Daichi Koike
2.1k vistas
54 diapositivas
とある診断員とAWS
zaki4649
40.1k vistas
37 diapositivas
最近のやられアプリを試してみた
zaki4649
23.8k vistas
16 diapositivas
[BurpSuiteJapan]Burp Suite導入・操作
Burp Suite Japan User Group
8.7k vistas
81 diapositivas
組織の問題も解決するアーキテクチャ BackendsForFrontends
PIXTA Inc.
2.7k vistas
35 diapositivas
Bapp Storeを調べてみたよ!
zaki4649
3.4k vistas
14 diapositivas
AWSからのメール送信
Amazon Web Services Japan
162.3k vistas
67 diapositivas
Anuncio

Más Contenido Relacionado

Presentaciones para usted (20)

AWSのログ管理ベストプラクティス
Akihiro Kuwano
74k vistas
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Shuto Suzuki
10.3k vistas
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
93.1k vistas
Prometheus入門から運用まで徹底解説
貴仁 大和屋
31.7k vistas
Amazon GameLift FlexMatch
Amazon Web Services Japan
1.6k vistas
Azure AD による Web API の 保護
junichi anno
3.3k vistas
GraphQLのsubscriptionで出来ること
Shingo Fukui
8.8k vistas
世界一わかりやすいClean Architecture
Atsushi Nakamura
44.2k vistas
Guide To AGPL
Mikiya Okuno
95.1k vistas
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
55k vistas
Proxy War
zaki4649
14.6k vistas
Amazon EKS によるスマホゲームのバックエンド運用事例
gree_tech
6.9k vistas
[社内勉強会]ELBとALBと数万スパイク負荷テスト
Takahiro Moteki
29k vistas
Spring Boot × Vue.jsでSPAを作る
Go Miyasaka
14.2k vistas
開発速度が速い #とは(LayerX社内資料)
mosa siru
54.8k vistas
シングルサインオンの歴史とSAMLへの道のり
Shinichi Tomita
36.7k vistas
Azure API Management 俺的マニュアル
貴志 上坂
20k vistas
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
33.6k vistas
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
61.4k vistas
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
DeNA
59.5k vistas
AWSのログ管理ベストプラクティス
Akihiro Kuwano
74k vistas
57 diapositivas
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Shuto Suzuki
10.3k vistas
31 diapositivas
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
93.1k vistas
107 diapositivas
Prometheus入門から運用まで徹底解説
貴仁 大和屋
31.7k vistas
94 diapositivas
Amazon GameLift FlexMatch
Amazon Web Services Japan
1.6k vistas
35 diapositivas
Azure AD による Web API の 保護
junichi anno
3.3k vistas
55 diapositivas

Similares a 最近のBurp Suiteについて調べてみた (9)

ノリとその場の勢いでPocを作った話
zaki4649
6k vistas
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
7.1k vistas
BurpSuiteの大変な一日
zaki4649
2.4k vistas
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
1.1k vistas
20190531 「運用自動化」のモデルを考える
Yoshikazu GOTO
340 vistas
Perlで初めてWebアプリを作った話
Yuzo Iwasaki
795 vistas
20190620 My Recommended Toothbrush
Typhon 666
696 vistas
スクラム開発に取り組んでみた
yyasuyuki
739 vistas
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
Typhon 666
2.8k vistas
ノリとその場の勢いでPocを作った話
zaki4649
6k vistas
42 diapositivas
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
7.1k vistas
35 diapositivas
BurpSuiteの大変な一日
zaki4649
2.4k vistas
19 diapositivas
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
1.1k vistas
26 diapositivas
20190531 「運用自動化」のモデルを考える
Yoshikazu GOTO
340 vistas
10 diapositivas
Perlで初めてWebアプリを作った話
Yuzo Iwasaki
795 vistas
14 diapositivas
Anuncio

Más de zaki4649 (8)

flaws.cloudに挑戦しよう!
zaki4649
9.4k vistas
PenTesterが知っている危ないAWS環境の共通点
zaki4649
38.9k vistas
フリーでやろうぜ!セキュリティチェック!
zaki4649
64.5k vistas
Proxy War EPISODEⅡ
zaki4649
5.7k vistas
とある診断員と色々厄介な脆弱性達
zaki4649
26.9k vistas
とある診断員のSECCONオンライン予選
zaki4649
4.3k vistas
とある診断員とSQLインジェクション
zaki4649
77.9k vistas
はじめてのWi-Fiクラック
zaki4649
5.5k vistas
flaws.cloudに挑戦しよう!
zaki4649
9.4k vistas
90 diapositivas
PenTesterが知っている危ないAWS環境の共通点
zaki4649
38.9k vistas
48 diapositivas
フリーでやろうぜ!セキュリティチェック!
zaki4649
64.5k vistas
114 diapositivas
Proxy War EPISODEⅡ
zaki4649
5.7k vistas
19 diapositivas
とある診断員と色々厄介な脆弱性達
zaki4649
26.9k vistas
37 diapositivas
とある診断員のSECCONオンライン予選
zaki4649
4.3k vistas
14 diapositivas

Más reciente (20)

2022 03 JOIN JOUE
arts yokohama
90 vistas
3DReconstructionDemo20230316.pdf
Taka Ishii
15 vistas
メタバース世界とリアルのつながり.pptx
ssuser800a71
47 vistas
複数の質感を複合的に提示可能な触覚提示デバイス
Matsushita Laboratory
56 vistas
DID入門.pdf
Shigeichiro Yamasaki
92 vistas
Processadores_Suportados_IPM41-D3.pdf
SoporteTecnicoElectr
2 vistas
2022 02 Light your way
arts yokohama
90 vistas
【DL輪読会】Bridge-Prompt: Toward Ordinal Action Understanding in Instructional Vi...
Deep Learning JP
177 vistas
Hierarchical Metadata-Aware Document Categorization under Weak Supervision​ (...
ARISE analytics
46 vistas
原野商法サーチ
Takahisa TAGUCHI
23 vistas
15. Transformerを用いた言語処理技術の発展.pdf
幸太朗 岩澤
8 vistas
burikaigi2023
Tatsuya Ishikawa
9 vistas
20230323_IoTLT_vol97_kitazaki_v1.pdf
Ayachika Kitazaki
131 vistas
【卒業論文】B2Bオークションにおけるユーザ別 入札行動予測に関する研究
harmonylab
115 vistas
TaketoFujikawa_comic2023
Matsushita Laboratory
19 vistas
2022 03 Snow Finders
arts yokohama
87 vistas
chatGPTの驚くべき対話能力.pdf
YamashitaKatsushi
764 vistas
Eye tracking for VR.pdf
Shoko16
6 vistas
【論文読み会】Signing at Scale: Learning to Co-Articulate Signs for Large-Scale Pho...
ARISE analytics
35 vistas
20230325 SORACOM-UG.pdf
ShigekiInatama
29 vistas
2022 03 JOIN JOUE
arts yokohama
90 vistas
32 diapositivas
3DReconstructionDemo20230316.pdf
Taka Ishii
15 vistas
5 diapositivas
メタバース世界とリアルのつながり.pptx
ssuser800a71
47 vistas
10 diapositivas
複数の質感を複合的に提示可能な触覚提示デバイス
Matsushita Laboratory
56 vistas
26 diapositivas
DID入門.pdf
Shigeichiro Yamasaki
92 vistas
47 diapositivas
Processadores_Suportados_IPM41-D3.pdf
SoporteTecnicoElectr
2 vistas
1 diapositiva
Anuncio

最近のBurp Suiteについて調べてみた

  1. 1. 最近のBurp Suite について調べてみた @tigerszk Burp Suite Japan LT Carnival 2016/11/18
  2. 2. 自己紹介 Shun Suzaki(洲崎 俊) ユーザ企業のセキュリティチームに所属する セキュリティエンジニア Twitter: とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライドなど http://www.slideshare.net/zaki4649/
  3. 3. クライアントProxyは Webセキュリティエンジニアの必携tool • あなたはどれがお好みですか? • 色々併用して使っている人も多いはず • 過去には「Proxy War」というセッションも やってみたりも! 「Proxy War」 http://www.slideshare.net/zaki4649/proxy-war-42161988
  4. 4. 僕はやっぱりBurpが一番好き!
  5. 5. User Groupにも是非ご参加を!  使い方についての質問やExtensionの共有など、日本でのBurp Suiteに 関する情報共有を目的としたサイボウズLiveグループを作成  参加ご希望の方は公式twitterにDMでサイボウズLiveアカウントの メールアドレスをご連絡ください! @BurpSuiteJapan
  6. 6. そんなBurp Suiteですが
  7. 7. 最近は非常にアップデートが多い • 2015年からかなり頻繁にアップデート • ちなみに今年は今の所6月以外は全ての月で、 新しいバージョンがリリース 1 18 11 9 14 17 13 24 19 2008 2009 2010 2011 2012 2013 2014 2015 2016 ※2016/11/18時点での集計結果 Burp Suiteのアップデート件数推移
  8. 8. 某本の著者からもこんな悲鳴が、、、
  9. 9. 最近Burp Suitで どんなアップデートがあったのか 調べてみました! というわけで それだけ沢山更新していれば 当然新しい機能の追加や 既存機能を色々改善しているはず!
  10. 10. ちょっと頑張って調べてみた • とりあえず2015年~2016年のアップデート内容に ついてリリースノートを全部読んでまとめてみた
  11. 11. アップデートの主な内容(2015年~2016年) • 実はアップデートの約半分くらいは Burp Scanner機能の改善関連 • また、この2年で色々新機能が追加 • 2016年4月におよそ2年ぶりに メジャーアップデートがあり1.7系に!
  12. 12. ちなみに調べていて思ったこと • リリースノートは画像付きとかで結構詳しく書 いてある • また技術詳細などをブログで解説してくれて いたりするので非常に勉強になる Burp Suite Professional - release notes http://releases.portswigger.net/
  13. 13. カンファレンスなどで発表されたネタに 関連するリリースも結構ある • server-side template injectionの検出(1.6.24) http://releases.portswigger.net/2015/08/1624.html Black Hat USAで発表されたネタっぽい https://www.blackhat.com/us-15/briefings.html#server-side-template- injection-rce-for-the-modern-web-app • CORSに関する報告についてのスキャナロジックを強化(1.7.08) http://releases.portswigger.net/2016/10/1708.html APPSEC USAで発表されたネタっぽい https://portswigger.net/knowledgebase/papers/ExploitingCORSMisconfigurations. pdf • レスポンスを分析し変化を検出する拡張用のAPIが追加 &そのAPIを利用したBurp extensionをリリース(1.7.10) http://releases.portswigger.net/2016/11/1710.html Black Hat EUで発表されたネタっぽい https://www.blackhat.com/eu-16/briefings.html#backslash-powered-scanning- hunting-unknown-vulnerability-classes
  14. 14. 今回のLTではこの二つをちょっと解説 • 1.7系での変更点 • 最近追加された新機能の概要
  15. 15. 1.7系にメジャーアップデート して何が変わった?
  16. 16. 約2年ぶりのメジャーバージョンアップ • 2008年 12月 ver 1.2 release • 2009年 11月 ver 1.3 release • 2011年 1月 ver 1.4 release • 2012年 9月 ver 1.5 release • 2014年 3月 ver 1.6 release • 2016年 4月 ver 1.7 release NEW!
  17. 17. Projectという概念が追加 • Burp起動時にProjectを作成させるような ウィザードが追加されている
  18. 18. Projectファイルとは? • 全てのデータ(厳密には全てじゃないけど)と 設定構成を保持するファイル • 最初にプロジェクトデータを作成すれば、 セーブをしなくても作業中に勝手にファイルに データが保存される • 残念ながらFree版ではProjectファイルの作成 ができない
  19. 19. 設定Optionが2つに分割 • 1.6系 • 1.7系
  20. 20. Project Options • 診断対象に関連する設定項目 – ターゲットスコープ – プロキシリスナー – リダイレクトやヘッダなど 詳細なHTTPオプション – SSL設定 …etc
  21. 21. User Options • ユーザ固有の設定項目 – フォントなどUIの見た目 – ホットキーなど操作に関する設定 – 上位プロキシの設定 – 拡張機能 …etc
  22. 22. 設定の保存、読み込みが可能 • それぞれjson形式にて設定を保存でき、 設定を読み込むことが可能 • APIやコマンドライン引数なども追加されている
  23. 23. こんな運用も可能? • 環境が変わっても、起動時に自分好みの設定 を指定してBurpを利用 • Burpの設定内容を他人と共有する • 目的・用途によって設定ファイルを使い分ける
  24. 24. プラットフォームごとの インストーラーも配布 • 1.7.05よりJarファイル以外にも、各プラットフォームに 合わせたインストーラーを配布するように変更 • Burp用のJava Runtime環境もインストールされるように なっている
  25. 25. 最近Burp Suiteに追加された 新機能とは?
  26. 26. 追加された三つの新機能 • Burp Infiltrator (1.7.04:Pro Only) • Burp Clickbandit (1.6.32) • Burp Collaborator (1.6.15:Pro Only)
  27. 27. Burp Clickbandit • クリックジャッキングのpocジェネレーター • Web開発者ツールを利用し、コピペしたJavaScriptを実 行することで、簡単にpocのhtmlを作成することが可能 Burp Suite Help - Clickbandit : https://portswigger.net/burp/help/suite_functions_clickbandit.html
  28. 28. Burp Infiltrator • 診断対象のアプリケーションのバイトコードにパッチをあ てて、安全ではないAPIの呼び出しを検知するという機能 • 現状では以下の言語をサポート – Java, Groovy, Scala, その他JVMで動く言語 (JRE versions 1.4 - 1.8) – C#, VB, or その他.NET Frameworkで動く言語(.NET versions 2.0 and later) Burp Infiltrator Documentation https://portswigger.net/burp/help/infiltrator.html
  29. 29. Burp Collaborator • Burp Collaborator serverと連携することで、従来の ブラックボックステストは検出しにくいとされてきた 脆弱性の検出を図る機能 • 最近最も力をいれて開発されていると思われる Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator.html
  30. 30. 診断対象からBurp Collaborator serverへの 通信を定期的に監視 PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html
  31. 31. 外部アクセスを誘発するようなペイロードを送信 • Burp Scannerに本機能を利用する様々なシグネチャが追加 • 現在はペイロードにて送信したドメインに対しての HTTPアクセス、DNS lookup を監視 PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html
  32. 32. Private Burp Collaborator Server Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator_deploying.html • Collaborator Serverは自分達で用意することも可能
  33. 33. Burp Collaborator client • 1.7.09にて手動診断でBurp Collaboratorを利用できる 機能及びAPIなどが追加
  34. 34. (0゜・∀・)wktk
  35. 35. と思っていたら…
  36. 36. キタ━━━(゚∀゚).━━━!!! Burp Suite Professional - release notes: 1.7.12 : http://releases.portswigger.net/2016/11/1712.html • なんとLTイベント終了後すぐに1.7.12がリリース! • 予想通りBurp CollaboratorがSMTPプロトコルに対応
  37. 37. まとめ 進化し続けるBurp Suite 今後も目が離せない! is VERY COOL!!

×