最近のBurp Suiteについて調べてみた

最近のBurp Suite について調べてみた

@tigerszk

Burp Suite Japan LT Carnival 2016/11/18

自己紹介 Shun Suzaki(洲崎 俊) ユーザ企業のセキュリティチームに所属する セキュリティエンジニア

Twitter: とある診断員@tigerszk

• ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー

I‘M A CERTAIN PENTESTER!

公開スライドなど http://www.slideshare.net/zaki4649/

クライアントProxyは Webセキュリティエンジニアの必携tool

• あなたはどれがお好みですか？

• 色々併用して使っている人も多いはず

• 過去には「Proxy War」というセッションも やってみたりも！

「Proxy War」 http://www.slideshare.net/zaki4649/proxy-war-42161988

僕はやっぱりBurpが一番好き！

User Groupにも是非ご参加を！

使い方についての質問やExtensionの共有など、日本でのBurp Suiteに関する情報共有を目的としたサイボウズLiveグループを作成

参加ご希望の方は公式twitterにDMでサイボウズLiveアカウントの メールアドレスをご連絡ください！

@BurpSuiteJapan

そんなBurp Suiteですが

最近は非常にアップデートが多い

• 2015年からかなり頻繁にアップデート • ちなみに今年は今の所6月以外は全ての月で、 新しいバージョンがリリース

1

18

11 9

14 17

13

24

19

2008 2009 2010 2011 2012 2013 2014 2015 2016※2016/11/18時点での集計結果

Burp Suiteのアップデート件数推移

某本の著者からもこんな悲鳴が、、、

最近Burp Suitで どんなアップデートがあったのか

調べてみました！

というわけで

それだけ沢山更新していれば 当然新しい機能の追加や

既存機能を色々改善しているはず！

ちょっと頑張って調べてみた

• とりあえず2015年~2016年のアップデート内容についてリリースノートを全部読んでまとめてみた

アップデートの主な内容（2015年~2016年）

• 実はアップデートの約半分くらいは Burp Scanner機能の改善関連

• また、この2年で色々新機能が追加

• 2016年4月におよそ２年ぶりに メジャーアップデートがあり1.7系に！

ちなみに調べていて思ったこと

• リリースノートは画像付きとかで結構詳しく書いてある

• また技術詳細などをブログで解説してくれて いたりするので非常に勉強になる

Burp Suite Professional - release notes http://releases.portswigger.net/

カンファレンスなどで発表されたネタに 関連するリリースも結構ある

• server-side template injectionの検出（1.6.24） http://releases.portswigger.net/2015/08/1624.html

Black Hat USAで発表されたネタっぽい https://www.blackhat.com/us-15/briefings.html#server-side-template-injection-rce-for-the-modern-web-app

• CORSに関する報告についてのスキャナロジックを強化（1.7.08） http://releases.portswigger.net/2016/10/1708.html APPSEC USAで発表されたネタっぽい https://portswigger.net/knowledgebase/papers/ExploitingCORSMisconfigurations.pdf

• レスポンスを分析し変化を検出する拡張用のAPIが追加 ＆そのAPIを利用したBurp extensionをリリース（1.7.10） http://releases.portswigger.net/2016/11/1710.html Black Hat EUで発表されたネタっぽい https://www.blackhat.com/eu-16/briefings.html#backslash-powered-scanning-hunting-unknown-vulnerability-classes

今回のLTではこの二つをちょっと解説

• 1.7系での変更点

• 最近追加された新機能の概要

1.7系にメジャーアップデートして何が変わった？

約2年ぶりのメジャーバージョンアップ

• 2008年 12月 ver 1.2 release

• 2009年 11月 ver 1.3 release

• 2011年 1月 ver 1.4 release

• 2012年 9月 ver 1.5 release

• 2014年 3月 ver 1.6 release

• 2016年 4月 ver 1.7 release NEW!

Projectという概念が追加

• Burp起動時にProjectを作成させるような ウィザードが追加されている

Projectファイルとは？

• 全てのデータ（厳密には全てじゃないけど）と設定構成を保持するファイル

• 最初にプロジェクトデータを作成すれば、

セーブをしなくても作業中に勝手にファイルにデータが保存される

• 残念ながらFree版ではProjectファイルの作成ができない

設定Optionが2つに分割

• 1.6系

• 1.7系

Project Options

• 診断対象に関連する設定項目 – ターゲットスコープ

– プロキシリスナー

– リダイレクトやヘッダなど 詳細なHTTPオプション

– SSL設定

…etc

User Options

• ユーザ固有の設定項目 – フォントなどUIの見た目

– ホットキーなど操作に関する設定

– 上位プロキシの設定

– 拡張機能

…etc

設定の保存、読み込みが可能

• それぞれjson形式にて設定を保存でき、 設定を読み込むことが可能

• APIやコマンドライン引数なども追加されている

こんな運用も可能？

• 環境が変わっても、起動時に自分好みの設定を指定してBurpを利用

• Burpの設定内容を他人と共有する

• 目的・用途によって設定ファイルを使い分ける

プラットフォームごとの インストーラーも配布

• 1.7.05よりJarファイル以外にも、各プラットフォームに合わせたインストーラーを配布するように変更

• Burp用のJava Runtime環境もインストールされるようになっている

最近Burp Suiteに追加された 新機能とは？

追加された三つの新機能

• Burp Infiltrator (1.7.04：Pro Only)

• Burp Clickbandit (1.6.32)

• Burp Collaborator (1.6.15：Pro Only)

Burp Clickbandit

• クリックジャッキングのpocジェネレーター

• Web開発者ツールを利用し、コピペしたJavaScriptを実行することで、簡単にpocのhtmlを作成することが可能

Burp Suite Help - Clickbandit : https://portswigger.net/burp/help/suite_functions_clickbandit.html

Burp Infiltrator

• 診断対象のアプリケーションのバイトコードにパッチをあてて、安全ではないAPIの呼び出しを検知するという機能

• 現状では以下の言語をサポート – Java, Groovy, Scala, その他JVMで動く言語 (JRE versions 1.4 - 1.8) – C#, VB, or その他.NET Frameworkで動く言語(.NET versions 2.0 and later)

Burp Infiltrator Documentation https://portswigger.net/burp/help/infiltrator.html

Burp Collaborator

• Burp Collaborator serverと連携することで、従来の ブラックボックステストは検出しにくいとされてきた 脆弱性の検出を図る機能

• 最近最も力をいれて開発されていると思われる Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator.html

診断対象からBurp Collaborator serverへの 通信を定期的に監視

PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html

外部アクセスを誘発するようなペイロードを送信

• Burp Scannerに本機能を利用する様々なシグネチャが追加

• 現在はペイロードにて送信したドメインに対しての HTTPアクセス、DNS lookup を監視

PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html

Private Burp Collaborator Server

Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator_deploying.html

• Collaborator Serverは自分達で用意することも可能

Burp Collaborator client

• 1.7.09にて手動診断でBurp Collaboratorを利用できる機能及びAPIなどが追加

(0゜・∀・)wktk

と思っていたら…

ｷﾀ━━━(ﾟ∀ﾟ).━━━!!!

Burp Suite Professional - release notes: 1.7.12 : http://releases.portswigger.net/2016/11/1712.html

• なんとLTイベント終了後すぐに1.7.12がリリース！ • 予想通りBurp CollaboratorがSMTPプロトコルに対応

まとめ

進化し続けるBurp Suite 今後も目が離せない！

is VERY COOL!!