Upload
zaki4649
View
1.432
Download
0
Embed Size (px)
Citation preview
最近のBurp Suite について調べてみた
@tigerszk
Burp Suite Japan LT Carnival 2016/11/18
自己紹介 Shun Suzaki(洲崎 俊) ユーザ企業のセキュリティチームに所属する セキュリティエンジニア
Twitter: とある診断員@tigerszk
• ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー
I‘M A CERTAIN PENTESTER!
公開スライドなど http://www.slideshare.net/zaki4649/
クライアントProxyは Webセキュリティエンジニアの必携tool
• あなたはどれがお好みですか?
• 色々併用して使っている人も多いはず
• 過去には「Proxy War」というセッションも やってみたりも!
「Proxy War」 http://www.slideshare.net/zaki4649/proxy-war-42161988
僕はやっぱりBurpが一番好き!
User Groupにも是非ご参加を!
使い方についての質問やExtensionの共有など、日本でのBurp Suiteに関する情報共有を目的としたサイボウズLiveグループを作成
参加ご希望の方は公式twitterにDMでサイボウズLiveアカウントの メールアドレスをご連絡ください!
@BurpSuiteJapan
そんなBurp Suiteですが
最近は非常にアップデートが多い
• 2015年からかなり頻繁にアップデート • ちなみに今年は今の所6月以外は全ての月で、 新しいバージョンがリリース
1
18
11 9
14 17
13
24
19
2008 2009 2010 2011 2012 2013 2014 2015 2016※2016/11/18時点での集計結果
Burp Suiteのアップデート件数推移
某本の著者からもこんな悲鳴が、、、
最近Burp Suitで どんなアップデートがあったのか
調べてみました!
というわけで
それだけ沢山更新していれば 当然新しい機能の追加や
既存機能を色々改善しているはず!
ちょっと頑張って調べてみた
• とりあえず2015年~2016年のアップデート内容についてリリースノートを全部読んでまとめてみた
アップデートの主な内容(2015年~2016年)
• 実はアップデートの約半分くらいは Burp Scanner機能の改善関連
• また、この2年で色々新機能が追加
• 2016年4月におよそ2年ぶりに メジャーアップデートがあり1.7系に!
ちなみに調べていて思ったこと
• リリースノートは画像付きとかで結構詳しく書いてある
• また技術詳細などをブログで解説してくれて いたりするので非常に勉強になる
Burp Suite Professional - release notes http://releases.portswigger.net/
カンファレンスなどで発表されたネタに 関連するリリースも結構ある
• server-side template injectionの検出(1.6.24) http://releases.portswigger.net/2015/08/1624.html
Black Hat USAで発表されたネタっぽい https://www.blackhat.com/us-15/briefings.html#server-side-template-injection-rce-for-the-modern-web-app
• CORSに関する報告についてのスキャナロジックを強化(1.7.08) http://releases.portswigger.net/2016/10/1708.html APPSEC USAで発表されたネタっぽい https://portswigger.net/knowledgebase/papers/ExploitingCORSMisconfigurations.pdf
• レスポンスを分析し変化を検出する拡張用のAPIが追加 &そのAPIを利用したBurp extensionをリリース(1.7.10) http://releases.portswigger.net/2016/11/1710.html Black Hat EUで発表されたネタっぽい https://www.blackhat.com/eu-16/briefings.html#backslash-powered-scanning-hunting-unknown-vulnerability-classes
今回のLTではこの二つをちょっと解説
• 1.7系での変更点
• 最近追加された新機能の概要
1.7系にメジャーアップデートして何が変わった?
約2年ぶりのメジャーバージョンアップ
• 2008年 12月 ver 1.2 release
• 2009年 11月 ver 1.3 release
• 2011年 1月 ver 1.4 release
• 2012年 9月 ver 1.5 release
• 2014年 3月 ver 1.6 release
• 2016年 4月 ver 1.7 release NEW!
Projectという概念が追加
• Burp起動時にProjectを作成させるような ウィザードが追加されている
Projectファイルとは?
• 全てのデータ(厳密には全てじゃないけど)と設定構成を保持するファイル
• 最初にプロジェクトデータを作成すれば、
セーブをしなくても作業中に勝手にファイルにデータが保存される
• 残念ながらFree版ではProjectファイルの作成ができない
設定Optionが2つに分割
• 1.6系
• 1.7系
Project Options
• 診断対象に関連する設定項目 – ターゲットスコープ
– プロキシリスナー
– リダイレクトやヘッダなど 詳細なHTTPオプション
– SSL設定
…etc
User Options
• ユーザ固有の設定項目 – フォントなどUIの見た目
– ホットキーなど操作に関する設定
– 上位プロキシの設定
– 拡張機能
…etc
設定の保存、読み込みが可能
• それぞれjson形式にて設定を保存でき、 設定を読み込むことが可能
• APIやコマンドライン引数なども追加されている
こんな運用も可能?
• 環境が変わっても、起動時に自分好みの設定を指定してBurpを利用
• Burpの設定内容を他人と共有する
• 目的・用途によって設定ファイルを使い分ける
プラットフォームごとの インストーラーも配布
• 1.7.05よりJarファイル以外にも、各プラットフォームに合わせたインストーラーを配布するように変更
• Burp用のJava Runtime環境もインストールされるようになっている
最近Burp Suiteに追加された 新機能とは?
追加された三つの新機能
• Burp Infiltrator (1.7.04:Pro Only)
• Burp Clickbandit (1.6.32)
• Burp Collaborator (1.6.15:Pro Only)
Burp Clickbandit
• クリックジャッキングのpocジェネレーター
• Web開発者ツールを利用し、コピペしたJavaScriptを実行することで、簡単にpocのhtmlを作成することが可能
Burp Suite Help - Clickbandit : https://portswigger.net/burp/help/suite_functions_clickbandit.html
Burp Infiltrator
• 診断対象のアプリケーションのバイトコードにパッチをあてて、安全ではないAPIの呼び出しを検知するという機能
• 現状では以下の言語をサポート – Java, Groovy, Scala, その他JVMで動く言語 (JRE versions 1.4 - 1.8) – C#, VB, or その他.NET Frameworkで動く言語(.NET versions 2.0 and later)
Burp Infiltrator Documentation https://portswigger.net/burp/help/infiltrator.html
Burp Collaborator
• Burp Collaborator serverと連携することで、従来の ブラックボックステストは検出しにくいとされてきた 脆弱性の検出を図る機能
• 最近最も力をいれて開発されていると思われる Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator.html
診断対象からBurp Collaborator serverへの 通信を定期的に監視
PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html
外部アクセスを誘発するようなペイロードを送信
• Burp Scannerに本機能を利用する様々なシグネチャが追加
• 現在はペイロードにて送信したドメインに対しての HTTPアクセス、DNS lookup を監視
PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html
Private Burp Collaborator Server
Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator_deploying.html
• Collaborator Serverは自分達で用意することも可能
Burp Collaborator client
• 1.7.09にて手動診断でBurp Collaboratorを利用できる機能及びAPIなどが追加
(0゜・∀・)wktk
と思っていたら…
キタ━━━(゚∀゚).━━━!!!
Burp Suite Professional - release notes: 1.7.12 : http://releases.portswigger.net/2016/11/1712.html
• なんとLTイベント終了後すぐに1.7.12がリリース! • 予想通りBurp CollaboratorがSMTPプロトコルに対応
まとめ
進化し続けるBurp Suite 今後も目が離せない!
is VERY COOL!!