37
最近のBurp Suite について調べてみた @tigerszk Burp Suite Japan LT Carnival 2016/11/18

最近のBurp Suiteについて調べてみた

Embed Size (px)

Citation preview

Page 1: 最近のBurp Suiteについて調べてみた

最近のBurp Suite について調べてみた

@tigerszk

Burp Suite Japan LT Carnival 2016/11/18

Page 2: 最近のBurp Suiteについて調べてみた

自己紹介 Shun Suzaki(洲崎 俊) ユーザ企業のセキュリティチームに所属する セキュリティエンジニア

Twitter: とある診断員@tigerszk

• ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー

I‘M A CERTAIN PENTESTER!

公開スライドなど http://www.slideshare.net/zaki4649/

Page 3: 最近のBurp Suiteについて調べてみた

クライアントProxyは Webセキュリティエンジニアの必携tool

• あなたはどれがお好みですか?

• 色々併用して使っている人も多いはず

• 過去には「Proxy War」というセッションも やってみたりも!

「Proxy War」 http://www.slideshare.net/zaki4649/proxy-war-42161988

Page 4: 最近のBurp Suiteについて調べてみた

僕はやっぱりBurpが一番好き!

Page 5: 最近のBurp Suiteについて調べてみた

User Groupにも是非ご参加を!

使い方についての質問やExtensionの共有など、日本でのBurp Suiteに関する情報共有を目的としたサイボウズLiveグループを作成

参加ご希望の方は公式twitterにDMでサイボウズLiveアカウントの メールアドレスをご連絡ください!

@BurpSuiteJapan

Page 6: 最近のBurp Suiteについて調べてみた

そんなBurp Suiteですが

Page 7: 最近のBurp Suiteについて調べてみた

最近は非常にアップデートが多い

• 2015年からかなり頻繁にアップデート • ちなみに今年は今の所6月以外は全ての月で、 新しいバージョンがリリース

1

18

11 9

14 17

13

24

19

2008 2009 2010 2011 2012 2013 2014 2015 2016※2016/11/18時点での集計結果

Burp Suiteのアップデート件数推移

Page 8: 最近のBurp Suiteについて調べてみた

某本の著者からもこんな悲鳴が、、、

Page 9: 最近のBurp Suiteについて調べてみた

最近Burp Suitで どんなアップデートがあったのか

調べてみました!

というわけで

それだけ沢山更新していれば 当然新しい機能の追加や

既存機能を色々改善しているはず!

Page 10: 最近のBurp Suiteについて調べてみた

ちょっと頑張って調べてみた

• とりあえず2015年~2016年のアップデート内容についてリリースノートを全部読んでまとめてみた

Page 11: 最近のBurp Suiteについて調べてみた

アップデートの主な内容(2015年~2016年)

• 実はアップデートの約半分くらいは Burp Scanner機能の改善関連

• また、この2年で色々新機能が追加

• 2016年4月におよそ2年ぶりに メジャーアップデートがあり1.7系に!

Page 12: 最近のBurp Suiteについて調べてみた

ちなみに調べていて思ったこと

• リリースノートは画像付きとかで結構詳しく書いてある

• また技術詳細などをブログで解説してくれて いたりするので非常に勉強になる

Burp Suite Professional - release notes http://releases.portswigger.net/

Page 13: 最近のBurp Suiteについて調べてみた

カンファレンスなどで発表されたネタに 関連するリリースも結構ある

• server-side template injectionの検出(1.6.24) http://releases.portswigger.net/2015/08/1624.html

Black Hat USAで発表されたネタっぽい https://www.blackhat.com/us-15/briefings.html#server-side-template-injection-rce-for-the-modern-web-app

• CORSに関する報告についてのスキャナロジックを強化(1.7.08) http://releases.portswigger.net/2016/10/1708.html APPSEC USAで発表されたネタっぽい https://portswigger.net/knowledgebase/papers/ExploitingCORSMisconfigurations.pdf

• レスポンスを分析し変化を検出する拡張用のAPIが追加 &そのAPIを利用したBurp extensionをリリース(1.7.10) http://releases.portswigger.net/2016/11/1710.html Black Hat EUで発表されたネタっぽい https://www.blackhat.com/eu-16/briefings.html#backslash-powered-scanning-hunting-unknown-vulnerability-classes

Page 14: 最近のBurp Suiteについて調べてみた

今回のLTではこの二つをちょっと解説

• 1.7系での変更点

• 最近追加された新機能の概要

Page 15: 最近のBurp Suiteについて調べてみた

1.7系にメジャーアップデートして何が変わった?

Page 16: 最近のBurp Suiteについて調べてみた

約2年ぶりのメジャーバージョンアップ

• 2008年 12月 ver 1.2 release

• 2009年 11月 ver 1.3 release

• 2011年 1月 ver 1.4 release

• 2012年 9月 ver 1.5 release

• 2014年 3月 ver 1.6 release

• 2016年 4月 ver 1.7 release NEW!

Page 17: 最近のBurp Suiteについて調べてみた

Projectという概念が追加

• Burp起動時にProjectを作成させるような ウィザードが追加されている

Page 18: 最近のBurp Suiteについて調べてみた

Projectファイルとは?

• 全てのデータ(厳密には全てじゃないけど)と設定構成を保持するファイル

• 最初にプロジェクトデータを作成すれば、

セーブをしなくても作業中に勝手にファイルにデータが保存される

• 残念ながらFree版ではProjectファイルの作成ができない

Page 19: 最近のBurp Suiteについて調べてみた

設定Optionが2つに分割

• 1.6系

• 1.7系

Page 20: 最近のBurp Suiteについて調べてみた

Project Options

• 診断対象に関連する設定項目 – ターゲットスコープ

– プロキシリスナー

– リダイレクトやヘッダなど 詳細なHTTPオプション

– SSL設定

…etc

Page 21: 最近のBurp Suiteについて調べてみた

User Options

• ユーザ固有の設定項目 – フォントなどUIの見た目

– ホットキーなど操作に関する設定

– 上位プロキシの設定

– 拡張機能

…etc

Page 22: 最近のBurp Suiteについて調べてみた

設定の保存、読み込みが可能

• それぞれjson形式にて設定を保存でき、 設定を読み込むことが可能

• APIやコマンドライン引数なども追加されている

Page 23: 最近のBurp Suiteについて調べてみた

こんな運用も可能?

• 環境が変わっても、起動時に自分好みの設定を指定してBurpを利用

• Burpの設定内容を他人と共有する

• 目的・用途によって設定ファイルを使い分ける

Page 24: 最近のBurp Suiteについて調べてみた

プラットフォームごとの インストーラーも配布

• 1.7.05よりJarファイル以外にも、各プラットフォームに合わせたインストーラーを配布するように変更

• Burp用のJava Runtime環境もインストールされるようになっている

Page 25: 最近のBurp Suiteについて調べてみた

最近Burp Suiteに追加された 新機能とは?

Page 26: 最近のBurp Suiteについて調べてみた

追加された三つの新機能

• Burp Infiltrator (1.7.04:Pro Only)

• Burp Clickbandit (1.6.32)

• Burp Collaborator (1.6.15:Pro Only)

Page 27: 最近のBurp Suiteについて調べてみた

Burp Clickbandit

• クリックジャッキングのpocジェネレーター

• Web開発者ツールを利用し、コピペしたJavaScriptを実行することで、簡単にpocのhtmlを作成することが可能

Burp Suite Help - Clickbandit : https://portswigger.net/burp/help/suite_functions_clickbandit.html

Page 28: 最近のBurp Suiteについて調べてみた

Burp Infiltrator

• 診断対象のアプリケーションのバイトコードにパッチをあてて、安全ではないAPIの呼び出しを検知するという機能

• 現状では以下の言語をサポート – Java, Groovy, Scala, その他JVMで動く言語 (JRE versions 1.4 - 1.8) – C#, VB, or その他.NET Frameworkで動く言語(.NET versions 2.0 and later)

Burp Infiltrator Documentation https://portswigger.net/burp/help/infiltrator.html

Page 29: 最近のBurp Suiteについて調べてみた

Burp Collaborator

• Burp Collaborator serverと連携することで、従来の ブラックボックステストは検出しにくいとされてきた 脆弱性の検出を図る機能

• 最近最も力をいれて開発されていると思われる Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator.html

Page 30: 最近のBurp Suiteについて調べてみた

診断対象からBurp Collaborator serverへの 通信を定期的に監視

PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html

Page 31: 最近のBurp Suiteについて調べてみた

外部アクセスを誘発するようなペイロードを送信

• Burp Scannerに本機能を利用する様々なシグネチャが追加

• 現在はペイロードにて送信したドメインに対しての HTTPアクセス、DNS lookup を監視

PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html

Page 32: 最近のBurp Suiteについて調べてみた

Private Burp Collaborator Server

Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator_deploying.html

• Collaborator Serverは自分達で用意することも可能

Page 33: 最近のBurp Suiteについて調べてみた

Burp Collaborator client

• 1.7.09にて手動診断でBurp Collaboratorを利用できる機能及びAPIなどが追加

Page 34: 最近のBurp Suiteについて調べてみた

(0゜・∀・)wktk

Page 35: 最近のBurp Suiteについて調べてみた

と思っていたら…

Page 36: 最近のBurp Suiteについて調べてみた

キタ━━━(゚∀゚).━━━!!!

Burp Suite Professional - release notes: 1.7.12 : http://releases.portswigger.net/2016/11/1712.html

• なんとLTイベント終了後すぐに1.7.12がリリース! • 予想通りBurp CollaboratorがSMTPプロトコルに対応

Page 37: 最近のBurp Suiteについて調べてみた

まとめ

進化し続けるBurp Suite 今後も目が離せない!

is VERY COOL!!


Burp Zeronights workshop

Burp Zeronights workshop

Technology
AppSec USA 2014 Denver, Colorado Customizing Burp Suite Getting the Most out of Burp Extensions

AppSec USA 2014 Denver, Colorado Customizing Burp Suite Getting the Most out of Burp Extensions

Documents
Tokyo Dolphins VS すべてのチーム - …...Tokyo Dolphins VS すべてのチーム 期間 シーズン 大会/リーグ 試合のタイプ なし 通算 すべて Official Game

Tokyo Dolphins VS すべてのチーム - …...Tokyo Dolphins VS すべてのチーム 期間 シーズン 大会/リーグ 試合のタイプ なし 通算 すべて Official Game

Documents
みんなが調べないJS調べてみた JSオジサン#2

みんなが調べないJS調べてみた JSオジサン#2

Technology
Bath Burp Issue 7

Bath Burp Issue 7

Documents
Burp Scanner Help

Burp Scanner Help

Documents
GeckoのLocal Storageについて調べてみた

GeckoのLocal Storageについて調べてみた

Technology
Bath Burp Issue 4

Bath Burp Issue 4

Documents
BURP! #1 June 2009

BURP! #1 June 2009

Documents
Bath Burp Issue 15

Bath Burp Issue 15

Documents
Lake Crest について調べてみた

Lake Crest について調べてみた

Technology
Extending Burp with Python

Extending Burp with Python

Documents
Bath Burp Issue 6

Bath Burp Issue 6

Documents
Burp Rag Tabs

Burp Rag Tabs

Documents
Pentesting Using Burp Suite

Pentesting Using Burp Suite

Documents
Zap vs burp

Zap vs burp

Software
Introduction to burp suite

Introduction to burp suite

Software
Burp Suite Pro Real-life tips & tricks - Agarri · Burp Suite Pro Real-life tips & tricks Nicolas Grégoire. ... Magic combo: Nikto Burp FuzzDB ... Misc Custom Logger, Burp Notes,

Burp Suite Pro Real-life tips & tricks - Agarri · Burp Suite Pro Real-life tips & tricks Nicolas Grégoire. ... Magic combo: Nikto Burp FuzzDB ... Misc Custom Logger, Burp Notes,

Documents
OpenStack - SDNとオープンネットワーキングのすべて

OpenStack - SDNとオープンネットワーキングのすべて

Technology
食べて動いて 表 0704入稿Title 食べて動いて_表_0704入稿_ Created Date 8/3/2011 1:42:37 PM

食べて動いて 表 0704入稿Title 食べて動いて_表_0704入稿_ Created Date 8/3/2011 1:42:37 PM

Documents
Bath Burp Issue 5

Bath Burp Issue 5

Documents
Windows Server 2012 R2 のすべて

Windows Server 2012 R2 のすべて

Technology
Bath Burp 9

Bath Burp 9

Documents
Cusomizing Burp Suite - Getting the Most out of Burp Extensions

Cusomizing Burp Suite - Getting the Most out of Burp Extensions

Technology
BURP! #2 October 2009

BURP! #2 October 2009

Documents
Burp Suite 2

Burp Suite 2

Documents
・ランチメニューはすべてサラダバーとドリンク …当レストランのご利用について ・ランチメニューはすべてサラダバーとドリンクバーが

・ランチメニューはすべてサラダバーとドリンク …当レストランのご利用について ・ランチメニューはすべてサラダバーとドリンクバーが

Documents
Burp Suite Starter

Burp Suite Starter

Technology
11 Web security testing using Burp and Firebugminisites.qaiglobalservices.com/stc2012/Paper_ Best_Practice/Web... · Web security testing using Burp Tools in Burp suite Burp Suite

11 Web security testing using Burp and Firebugminisites.qaiglobalservices.com/stc2012/Paper_ Best_Practice/Web... · Web security testing using Burp Tools in Burp suite Burp Suite

Documents
Burp を使用して WAS のスキャンのために REST API...Qualys Web アプリケーションスキャン 2 REST サービスに必要なリクエストをすべて作成します。それらは、次のように、Burp

Burp を使用して WAS のスキャンのために REST API...Qualys Web アプリケーションスキャン 2 REST サービスに必要なリクエストをすべて作成します。それらは、次のように、Burp

Documents