Bapp Store
を調べてみた!
@tigerszk
第2回 Burp Suite Japan LT Carnival
2018/7/5
自己紹介
Shun Suzaki(洲崎 俊)
ITイベントの参加・開催や日々の脆弱性検証を
ライフワークとする「とあるセキュリティエンジニア
Twitter:
とある診断員@tigerszk
• ISOG-J WG1
• Burp Suite Japan User Group
• OWASP JAPAN Promotion Team
• IT勉強会「#ssmjp」運営メンバー
I‘M A CERTAIN
PENTESTER!
公開スライド:http://www.slideshare.net/zaki4649/
Blog:http://tigerszk.hatenablog.com/
BappStoreって?
• Burpの機能を拡張するためのBurp Extenderを配布するための
portswigger公式のレポジトリ
• BurpのUIから利用でき、ワンタッチで機能をインストールで
きる
• Web経由でダウンロードすることもできる
• 申請すれば、誰でもExtenderを配布できるっぽい
自分で評価もできる
今一体いくつくらいあるの?
そういや、しばらく見てなかったけど
今どれくらいExtenderって公開されてい
るんだろ?
調べてみたら、なんと…
169個も公開されてた!!
※2018年7月5日時点の集計
というわけで、いい機会だから
とりあえず上から見ていきました
※今回説明は読みましたが全部はとても動作検証できませんでしたorz…
1. Active Scan++
公式が出している、Burpのアクティブスキャン機能とパッシブ
スキャン機能を拡張するExtender
2. J2EEScan
J2EEアプリケーションに特化したBurpのスキャン機能を拡張
するExtender
3. Retire.js
Retire.jsのBurp版。脆弱なJavaScriptライブラリを見つけ出す
ためのExtender
4. JSON Beautifier
HTTPメッセージビューアでJSONコンテンツを読みやすく出力
してくれるExtender
5. Software Vulnerability Scanner
Vulners.com APIを使用したソフトウェアバージョンの脆弱性
をスキャンしてくれるExtender
Popularity Top 10
便利!おススメ
便利!おススメ
Popularity Top 10
6. Backslash Powered Scanner
公式が出している、以下のBlogの手法を用いてインジェクション
脆弱性を検出するためのExtender
参照:https://portswigger.net/blog/backslash-powered-scanning-hunting-
unknown-vulnerability-classes
7. CSRF Scanner
CSRFをPassiveスキャンで検知するのに利用できるExtender
8. Java Deserialization Scanner
Javaのデシリアライゼーションの脆弱性を検出するための
Extender
9. Additional Scanner Checks
BurpSuiteには標準搭載されていないパッシブスキャナのチェック
を追加するExtender
DOMベースのXSS・HTTPヘッダ関連など
10. CO2
Wep Pentestに役立つBurpの機能を拡張するためのさまざまなモ
ジュールの詰め合わせセット
オモロいのでちょっと紹介w
個人的に便利かなと思ったもの
• Logger++
Proxy、Repeater、Scannerなどのリクエスト/レ
スポンスが一覧で参照可能、ログの保存も可能な
Extender
• Paramalyzer
スコープの対象内について、パラメータと送信した
値などを集計してくれるExtender
• Reissue Request Scripter
HTTP historyタブの通信を送信する
script(Python,Ruby,Perl,PHP,PowerShell,Javascr
iptなど)を自動的に生成してくれる
※Copy as 〇〇という似たようなExtenderシリー
ズもあるっぽい。
こんなのもあった
• mine-sweeper
悪意ある仮想通貨マイニングドメインから読み
こまれているスクリプトを検出するための
Extender
• Image Location & Privacy Scanner
画像内のGPS情報や埋め込まれたプライバシー
関連の情報をPassiveスキャンで検知する
Extender
• Yara
その名の通りYaraと連携するためのExtender
それ別にBurpでじゃなくても…
• Burp Chat
XMPP/Jabberを利用してなんとBurp上で
チャットするExtenderらしい
• Notes
その名の通り、Burp上でメモするための
Extender。なんと表も書ける。
• CVSS Calculator
Burp上でCVSS v2 及び v3 scoresのスコア値
を算出できるExtender
まとめ
• 全部はとても試しきれなかったので、今回気に
なったものを後で色々試したい!
• なんでも感でもBurp上でやろう感が満載な
Extenderとかがあって面白かったw
• あなたのお好みのExtenderがあるかもしれな
いのでのぞいてみてはいかがでしょうか?
Bapp Storeを調べてみたよ!

Bapp Storeを調べてみたよ!