全集中 Burp extension ISTE リリース1周年記念 - 振り返り - / Burp extension ISTE 1st Anniversary

Transcript

1. 全集中 Burp extension ISTE 1st Anniversary 　 - 振り返り -

   @okuken3 2022.02.25 第16回 初心者のためのセキュリティ勉強会

2. 0. 自己紹介 1. 全集中 Burp extension ISTE とは 2. リリース１周年の振り返り

   3. お知らせ Agenda

3. SOUND ONLY Kenichi Okuno 　Twitter: @okuken3 略歴 　1. SIerで色々 　2.

   業務パッケージベンダで開発 　3. Web事業会社でプロダクトセキュリティチーム立上げ 　4. 情報セキュリティサービス会社でWeb脆弱性診断 最近の出来事 　・ISTE リリース1周年！ (2022/02/19) 　・ISTE v0.4.2 リリース (2022/02/25)

4. 1. 全集中 Burp extension ISTE とは

5. Burp extension とは Burp Suite 　PortSwigger社製のWebアプリケーションセキュリティテスト用ツール。 　プロキシとして動作し、HTTP通信の内容確認・編集が可能な GUI を提供する。 　有償の

   Professional エディションでは脆弱性スキャナ機能も提供している。 Burp extension 　Burp Suite の拡張ポイントである Burp Extender を用いて開発された拡張機能。 　拡張ポイントの API は一般公開されている (※1) ため、誰でも開発可能である。 　PortSwigger社公認の extension は BApp Store (※2) で公開されている。 ※1 https://portswigger.net/burp/extender ※2 https://portswigger.net/bappstore 「Web脆弱性診断員を全集中へと導く Burp extension を作った話」より抜粋（2021.03.24 第５回 初心者のためのセキュリティ勉強会）

6. 背景 Excel形式の診断メモの辛み 　・レイアウト崩れ 　・条件付き書式の維持が煩雑 　・フィルタリング操作が煩雑 　・URL一覧と診断メモのダブルメンテ 　・診断メモ見返し時の生ログ探しの旅 　… 「Web脆弱性診断員を全集中へと導く Burp

   extension を作った話」より抜粋（2021.03.24 第５回 初心者のためのセキュリティ勉強会）

7. 純正Repeaterの履歴が見辛い 　・いつ、何を意図したリクエストか一目で判らない 　・URL一覧との紐付きがない 認可制御の診断が地味に面倒 　・単純作業に近いが手数がかかる 　・全自動だと逆に使い勝手が悪い 　⇒ アカウント指定リピート機能ぐらいが調度いい パラメータ引継ぎが煩雑 　・リピートする上でパラメータ引継ぎ作業が煩雑

   　・パラメータ引継ぎを組むならURL一覧と紐付けたい 背景 「Web脆弱性診断員を全集中へと導く Burp extension を作った話」より抜粋（2021.03.24 第５回 初心者のためのセキュリティ勉強会）

8. ISTE: Integrated Security Testing Environment Webアプリケーション脆弱性診断員を 煩雑な作業から解放し 全集中へと導く 全部入り環境な Burp

   extension 2021年2月19日 公開 (v0.1.0) https://github.com/okuken/integrated-security-testing-environment 現役のまま無事 １周年を迎えました！

9. https://twitter.com/okuken3/status/1398594568883343363 デモ動画 (short ver.)

10. 2. リリース１周年の振り返り

11. https://starchart.cc/okuken/integrated-security-testing-environment GitHubスター数の推移

12. GitHubスター数の推移 v0.1.0 (初回リリース) 勉強会LT v0.2.0 勉強会LT v0.3.0 勉強会LT 某勉強会など で少し言及

    v0.4.0 勉強会LT README英語化 デモ動画公開 ctf4b Writeup https://starchart.cc/okuken/integrated-security-testing-environment

13. 「#BurpISTE v0.2.0 の新機能 + BSQLi 復習」より抜粋（2021.04.22 第６回 初心者のためのセキュリティ勉強会） 半年遅れで50達成！ ありがとうございます!!

14. ISTE v0.2.0 の新機能 機能 概要 起動経路 Blind SQL injection 検出済みBSQLi脆弱性を利用したデータ

    抽出作業を自動化する機能 ※1 ISTE > List > (Context menu) > Exploit > Blind SQL injection URL一覧の コピーテンプレート設定 URL一覧内のレコードをクリップボード にコピーする際のテンプレ設定機能 ISTE > Options > User options > Copy templates URL単位メモの テンプレート設定 プロジェクト単位メモと同様に、URL単 位メモのテンプレを設定する機能 ISTE > Options > User options > Note templates > List Send To Repeat履歴 URL一覧内の特定URLのRepeat履歴に Send Toする機能 Proxy > HTTP history > (Context menu) > Send to ISTE as history of repeat ※1 脆弱性診断において、BSQLi脆弱性が利用可能であることの証明を目的として、バージョン情報等を抽出する際に用いる。 　　対象システムの管理者の許可なく実行しないよう注意すること。(不正アクセス禁止法等の法令違反に当たる可能性がある) 「#BurpISTE v0.2.0 の新機能 + BSQLi 復習」より抜粋（2021.04.22 第６回 初心者のためのセキュリティ勉強会）

15. 対象機能 改善点 Repeater ・アカウント指定Repeatに、「セッション更新＋送信」機能を追加した（Shift + Send） ・Sendボタンにキーボードニーモニックを設定した（Alt + S） ・アカウント選択時に表示するセッションIDを、右クリックでコピーできるようにした

    URL一覧 ・使用中のISTEプロジェクトの名前とBurpプロジェクト名が異なる場合に、誤操作防止の観点 から、プロジェクト名を赤文字表示(警告表示)するようにした ・ISTEプロジェクト選択ダイアログにおいて、Burpプロジェクト名と同名のISTEプロジェクト を強調表示するようにした ISTE v0.2.0 の改善点 「#BurpISTE v0.2.0 の新機能 + BSQLi 復習」より抜粋（2021.04.22 第６回 初心者のためのセキュリティ勉強会）

16. ISTE v0.3.0 の新機能 機能 概要 起動経路 Dark theme のサポート Burp

    Suite本体が2020.11.2verでDark themeを導入したが1、Dark theme使用 時にISTEの視認性が著しく悪化する問題 があったため、ISTE側にもDark theme 設定を追加することで対応した。 ISTE > Options > User options > Misc > Theme ISTE Plugin API の提供 ISTE本体に実装し得ない機能(例：自作ア プリとの連携機能)を開発するための拡張 ポイントを提供。v0.3.0でAPIを刷新・ 外部化し、リポジトリで公開した。 ISTE > Plugins ※ISTE Plugin API： https://github.com/okuken/iste-plugin-api 1 https://portswigger.net/burp/releases/professional-community-2020-11-2 「#BurpISTEで！ SECCON Beginners CTF 2021 Web問に全集中した話」より抜粋（2021.05.27 第７回 初心者のためのセキュリティ勉強会）

17. ISTE v0.4 の新機能 機能 概要 起動経路 ユーザオプションの Export/Import/Clear ISTEのユーザオプションをJSON形式でExport/Import する機能。個人で複数端末を使用するケースや、各種テ

    ンプレート設定のメンバー間での共有などを想定。 Clear機能では、共用端末などで行ったISTEの設定を、 端末返却時に1クリックでクリア可能。 ISTE > Tools > Export/Import > User options 一括入力 URL一覧において複数セルを一括で更新する機能。 単純な一括入力に加え、正規表現による一括置換、一括 ナンバリングの機能も提供。 ISTE > List > (Context menu) > Edit cell 「全集中 Burp extension ISTE v0.4 リリース」より抜粋（2021.10.28 第12回 初心者のためのセキュリティ勉強会）

18. 対象機能 改善点 認証定義 ・セッションIDの反映先を複数指定可能に ・セッションIDの取得元としてAccount tableを指定可能に ・セッションIDの反映時にURL-encodeするオプションを追加(Request chainでも同様に対応) ・Account tableの列数拡充(5→10)

    [仕様変更] ・セッションIDの反映は、元リクエストに対象パラメータが存在する場合にのみ行うように変更 ・セッションIDを暗黙クリアするタイミングを必要最小限に変更 ・セッションIDが暗黙クリアされた際に、Repeater上のアカウント選択を維持するように変更 ISTE v0.4 の改善点 ※ 便宜上「セッションID」と表現しているが、認証フローの結果得た値、あるいはあらかじめAccount tableに登録しておいた値を 　 Repeatリクエストに反映したいような任意のケースで利用可能。 「全集中 Burp extension ISTE v0.4 リリース」より抜粋（2021.10.28 第12回 初心者のためのセキュリティ勉強会）

19. 対象機能 機能 ショートカット Proxy history Send to ISTE Ctrl-Q あるいは

    Ctrl-右クリック　※1 Send to ISTE as history of repeat Ctrl+Shift-Q あるいは Ctrl+Shift-右クリック　※1 URL一覧 Edit cell Ctrl-E Copy name Ctrl-N Copy URL Ctrl-U ・・・ (上記以外にも複数あり。全量はURL一覧のコンテキストメニューにて確認可能。) Copy template にはキーボードニーモニックを設定可能とした。 ISTE v0.4 の改善点（キーボードショートカット） ※1 実験的な機能であるためデフォルトでは無効としている。有効化は ISTE > Options > User options > Misc > Shortcut にて。 　　なお、Ctrl-右クリック および Ctrl+Shift-右クリック は各所のメッセージエディタにおいても使用可能。 「全集中 Burp extension ISTE v0.4 リリース」より抜粋（2021.10.28 第12回 初心者のためのセキュリティ勉強会）

20. • LT中の反応 　「やばすぎる」「すごいすごいすごい」「統合診断環境(ISTE)の名にふさわしい！」 　「SUGEEEEE!」「KAKKEEEEE!」「便利すぎて笑う。明日から2時間くらい昼寝できそうです。」 　「2021年感動したツールの上位に食い込むレベル」「めっちゃ便利そう～つかう～(CTFに)」 反響 • LT後の反応 　「Excelとメモ帳が完全に要らなくなった」「いろいろすごいので診断してる人は使ってみてみて」 　「見たい通信だけISTEに送ってメモ書いておけるの便利。しかもその画面のままリピーターも使えるし。」

    　「ISTE愛用してます。ホンマ神ツール。」「神アプデです」「社内発表会で紹介(されていた)」 • フィードバック 　・Burp v2021.08で、Send to ISTE がコンテキストメニューの３階層目に潜り込んでしまって使い辛い 　　⇒ ISTE v.0.4.0 でキーボードショートカットを実装！ 　・Burp の Dark theme を使いたいが、ISTEの進捗色との相性が悪すぎて使えない 　　⇒ ISTE v0.3.0 で Dark theme に対応！

21. https://github.com/okuken/integrated-security-testing-environment/blob/master/README.ja.md#notes • 作者の直近の困りごと駆動で開発 　・とは言え、フィードバックも積極的に取り込んでいきたい所存です！（業界の生産性向上に寄与） 　・OSSなのでプルリクも歓迎です！ • 作者が普段使いする上で困らない程度の品質（優しく扱っている限りはきっと大丈夫） 　・作者の普段使い後にリリースしているので、大コケは滅多にないはず(v0.4.0はごめんなさい…) 　・明確かつ影響範囲の広い不具合には、なる早で対応したい気持ちです(v0.4.1は連絡受け即日リリース) 　・リリース前の最新のコードが見たい方はdevelopブランチを参照ください

    今後の開発方針：当初からのスタンスを継続

22. 3. お知らせ

23. ISTEのリリース情報、Twitterだけだと見逃しちゃうんだよな… 　⇒ Slackに参加して、「リリース情報」チャンネルから通知を受けよう！ ISTEでトラブった時、お手上げでマジ焦るんだよな… 　⇒ Slackに参加して、「質問」チャンネルで皆に質問してみよう！ 　　 ピン留めアイテム「ISTEのトラブルシューティング」だけで解決しちゃうかも？！ ISTE最高だし、自分の使い方をドヤりたいけど、Tweetしてもスルーされんだよな… 　⇒

    Slackに参加して、「雑談その他」チャンネルでISTE常中の皆様と語り合おう！ 　　 利用報告や使ってみての感想、周囲の評判など、どんな反響でも作者は嬉しい！ 　　 フィードバックも「フィードバック」チャンネルでお待ちしてます！ Slackワークスペースを開設しました！

24. 対象者　：ISTEをご利用中の方 あるいは ISTEに興味をお持ちの方 参加方法：下記の招待リンクからお気軽にご参加ください！ https://join.slack.com/t/burp-iste/shared_invite/zt-13xm9liet-BPI1ByEEklmTKZcSbQepAA Slackワークスペースを開設しました！

25. None