2016/11/18にBurp Suite Japan LT Carnivalで登壇した時の資料です。

1. 最近のBurp Suite
について調べてみた
@tigerszk
Burp Suite Japan LT Carnival
2016/11/18

2. 自己紹介
Shun Suzaki(洲崎 俊)
ユーザ企業のセキュリティチームに所属する
セキュリティエンジニア
Twitter:
とある診断員@tigerszk
• ISOG-J WG1
• Burp Suite Japan User Group
• OWASP JAPAN Promotion Team
• IT勉強会「#ssmjp」運営メンバー
I‘M A CERTAIN
PENTESTER!
公開スライドなど
http://www.slideshare.net/zaki4649/

3. クライアントProxyは
Webセキュリティエンジニアの必携tool
• あなたはどれがお好みですか？
• 色々併用して使っている人も多いはず
• 過去には「Proxy War」というセッションも
やってみたりも！
「Proxy War」
http://www.slideshare.net/zaki4649/proxy-war-42161988

4. 僕はやっぱりBurpが一番好き！

5. User Groupにも是非ご参加を！
 使い方についての質問やExtensionの共有など、日本でのBurp Suiteに
関する情報共有を目的としたサイボウズLiveグループを作成
 参加ご希望の方は公式twitterにDMでサイボウズLiveアカウントの
メールアドレスをご連絡ください！
@BurpSuiteJapan

6. そんなBurp Suiteですが

7. 最近は非常にアップデートが多い
• 2015年からかなり頻繁にアップデート
• ちなみに今年は今の所6月以外は全ての月で、
新しいバージョンがリリース
1
18
11
9
14
17
13
24
19
2008 2009 2010 2011 2012 2013 2014 2015 2016
※2016/11/18時点での集計結果
Burp Suiteのアップデート件数推移

8. 某本の著者からもこんな悲鳴が、、、

9. 最近Burp Suitで
どんなアップデートがあったのか
調べてみました！
というわけで
それだけ沢山更新していれば
当然新しい機能の追加や
既存機能を色々改善しているはず！

10. ちょっと頑張って調べてみた
• とりあえず2015年~2016年のアップデート内容に
ついてリリースノートを全部読んでまとめてみた

11. アップデートの主な内容（2015年~2016年）
• 実はアップデートの約半分くらいは
Burp Scanner機能の改善関連
• また、この2年で色々新機能が追加
• 2016年4月におよそ２年ぶりに
メジャーアップデートがあり1.7系に！

12. ちなみに調べていて思ったこと
• リリースノートは画像付きとかで結構詳しく書
いてある
• また技術詳細などをブログで解説してくれて
いたりするので非常に勉強になる
Burp Suite Professional
- release notes
http://releases.portswigger.net/

13. カンファレンスなどで発表されたネタに
関連するリリースも結構ある
• server-side template injectionの検出（1.6.24）
http://releases.portswigger.net/2015/08/1624.html
Black Hat USAで発表されたネタっぽい
https://www.blackhat.com/us-15/briefings.html#server-side-template-
injection-rce-for-the-modern-web-app
• CORSに関する報告についてのスキャナロジックを強化（1.7.08）
http://releases.portswigger.net/2016/10/1708.html
APPSEC USAで発表されたネタっぽい
https://portswigger.net/knowledgebase/papers/ExploitingCORSMisconfigurations.
pdf
• レスポンスを分析し変化を検出する拡張用のAPIが追加
＆そのAPIを利用したBurp extensionをリリース（1.7.10）
http://releases.portswigger.net/2016/11/1710.html
Black Hat EUで発表されたネタっぽい
https://www.blackhat.com/eu-16/briefings.html#backslash-powered-scanning-
hunting-unknown-vulnerability-classes

14. 今回のLTではこの二つをちょっと解説
• 1.7系での変更点
• 最近追加された新機能の概要

15. 1.7系にメジャーアップデート
して何が変わった？

16. 約2年ぶりのメジャーバージョンアップ
• 2008年 12月 ver 1.2 release
• 2009年 11月 ver 1.3 release
• 2011年 1月 ver 1.4 release
• 2012年 9月 ver 1.5 release
• 2014年 3月 ver 1.6 release
• 2016年 4月 ver 1.7 release NEW!

17. Projectという概念が追加
• Burp起動時にProjectを作成させるような
ウィザードが追加されている

18. Projectファイルとは？
• 全てのデータ（厳密には全てじゃないけど）と
設定構成を保持するファイル
• 最初にプロジェクトデータを作成すれば、
セーブをしなくても作業中に勝手にファイルに
データが保存される
• 残念ながらFree版ではProjectファイルの作成
ができない

19. 設定Optionが2つに分割
• 1.6系
• 1.7系

20. Project Options
• 診断対象に関連する設定項目
– ターゲットスコープ
– プロキシリスナー
– リダイレクトやヘッダなど
詳細なHTTPオプション
– SSL設定
…etc

21. User Options
• ユーザ固有の設定項目
– フォントなどUIの見た目
– ホットキーなど操作に関する設定
– 上位プロキシの設定
– 拡張機能
…etc

22. 設定の保存、読み込みが可能
• それぞれjson形式にて設定を保存でき、
設定を読み込むことが可能
• APIやコマンドライン引数なども追加されている

23. こんな運用も可能？
• 環境が変わっても、起動時に自分好みの設定
を指定してBurpを利用
• Burpの設定内容を他人と共有する
• 目的・用途によって設定ファイルを使い分ける

24. プラットフォームごとの
インストーラーも配布
• 1.7.05よりJarファイル以外にも、各プラットフォームに
合わせたインストーラーを配布するように変更
• Burp用のJava Runtime環境もインストールされるように
なっている

25. 最近Burp Suiteに追加された
新機能とは？

26. 追加された三つの新機能
• Burp Infiltrator (1.7.04：Pro Only)
• Burp Clickbandit (1.6.32)
• Burp Collaborator (1.6.15：Pro Only)

27. Burp Clickbandit
• クリックジャッキングのpocジェネレーター
• Web開発者ツールを利用し、コピペしたJavaScriptを実
行することで、簡単にpocのhtmlを作成することが可能
Burp Suite Help - Clickbandit :
https://portswigger.net/burp/help/suite_functions_clickbandit.html

28. Burp Infiltrator
• 診断対象のアプリケーションのバイトコードにパッチをあ
てて、安全ではないAPIの呼び出しを検知するという機能
• 現状では以下の言語をサポート
– Java, Groovy, Scala, その他JVMで動く言語 (JRE versions 1.4 - 1.8)
– C#, VB, or その他.NET Frameworkで動く言語(.NET versions 2.0 and later)
Burp Infiltrator Documentation
https://portswigger.net/burp/help/infiltrator.html

29. Burp Collaborator
• Burp Collaborator serverと連携することで、従来の
ブラックボックステストは検出しにくいとされてきた
脆弱性の検出を図る機能
• 最近最も力をいれて開発されていると思われる
Burp Collaborator Documentation :
https://portswigger.net/burp/help/collaborator.html

30. 診断対象からBurp Collaborator serverへの
通信を定期的に監視
PortSwigger Web Security Blog: Introducing Burp Collaborator より引用
http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html

31. 外部アクセスを誘発するようなペイロードを送信
• Burp Scannerに本機能を利用する様々なシグネチャが追加
• 現在はペイロードにて送信したドメインに対しての
HTTPアクセス、DNS lookup を監視
PortSwigger Web Security Blog: Introducing Burp Collaborator より引用
http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html

32. Private Burp Collaborator Server
Burp Collaborator Documentation :
https://portswigger.net/burp/help/collaborator_deploying.html
• Collaborator Serverは自分達で用意することも可能

33. Burp Collaborator client
• 1.7.09にて手動診断でBurp Collaboratorを利用できる
機能及びAPIなどが追加

34. (0゜・∀・)wktk

35. と思っていたら…

36. ｷﾀ━━━(ﾟ∀ﾟ).━━━!!!
Burp Suite Professional - release notes: 1.7.12 :
http://releases.portswigger.net/2016/11/1712.html
• なんとLTイベント終了後すぐに1.7.12がリリース！
• 予想通りBurp CollaboratorがSMTPプロトコルに対応

37. まとめ
進化し続けるBurp Suite
今後も目が離せない！
is VERY COOL!!