Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
最近のBurp Suite
について調べてみた
@tigerszk
Burp Suite Japan LT Carnival
2016/11/18
自己紹介
Shun Suzaki(洲崎 俊)
ユーザ企業のセキュリティチームに所属する
セキュリティエンジニア
Twitter:
とある診断員@tigerszk
• ISOG-J WG1
• Burp Suite Japan User Grou...
クライアントProxyは
Webセキュリティエンジニアの必携tool
• あなたはどれがお好みですか?
• 色々併用して使っている人も多いはず
• 過去には「Proxy War」というセッションも
やってみたりも!
「Proxy War」
ht...
僕はやっぱりBurpが一番好き!
User Groupにも是非ご参加を!
 使い方についての質問やExtensionの共有など、日本でのBurp Suiteに
関する情報共有を目的としたサイボウズLiveグループを作成
 参加ご希望の方は公式twitterにDMでサイボウズ...
そんなBurp Suiteですが
最近は非常にアップデートが多い
• 2015年からかなり頻繁にアップデート
• ちなみに今年は今の所6月以外は全ての月で、
新しいバージョンがリリース
1
18
11
9
14
17
13
24
19
2008 2009 2010 2011 2...
某本の著者からもこんな悲鳴が、、、
最近Burp Suitで
どんなアップデートがあったのか
調べてみました!
というわけで
それだけ沢山更新していれば
当然新しい機能の追加や
既存機能を色々改善しているはず!
ちょっと頑張って調べてみた
• とりあえず2015年~2016年のアップデート内容に
ついてリリースノートを全部読んでまとめてみた
アップデートの主な内容(2015年~2016年)
• 実はアップデートの約半分くらいは
Burp Scanner機能の改善関連
• また、この2年で色々新機能が追加
• 2016年4月におよそ2年ぶりに
メジャーアップデートがあり1.7系に!
ちなみに調べていて思ったこと
• リリースノートは画像付きとかで結構詳しく書
いてある
• また技術詳細などをブログで解説してくれて
いたりするので非常に勉強になる
Burp Suite Professional
- release notes...
カンファレンスなどで発表されたネタに
関連するリリースも結構ある
• server-side template injectionの検出(1.6.24)
http://releases.portswigger.net/2015/08/1624....
今回のLTではこの二つをちょっと解説
• 1.7系での変更点
• 最近追加された新機能の概要
1.7系にメジャーアップデート
して何が変わった?
約2年ぶりのメジャーバージョンアップ
• 2008年 12月 ver 1.2 release
• 2009年 11月 ver 1.3 release
• 2011年 1月 ver 1.4 release
• 2012年 9月 ver 1.5 r...
Projectという概念が追加
• Burp起動時にProjectを作成させるような
ウィザードが追加されている
Projectファイルとは?
• 全てのデータ(厳密には全てじゃないけど)と
設定構成を保持するファイル
• 最初にプロジェクトデータを作成すれば、
セーブをしなくても作業中に勝手にファイルに
データが保存される
• 残念ながらFree版ではP...
設定Optionが2つに分割
• 1.6系
• 1.7系
Project Options
• 診断対象に関連する設定項目
– ターゲットスコープ
– プロキシリスナー
– リダイレクトやヘッダなど
詳細なHTTPオプション
– SSL設定
…etc
User Options
• ユーザ固有の設定項目
– フォントなどUIの見た目
– ホットキーなど操作に関する設定
– 上位プロキシの設定
– 拡張機能
…etc
設定の保存、読み込みが可能
• それぞれjson形式にて設定を保存でき、
設定を読み込むことが可能
• APIやコマンドライン引数なども追加されている
こんな運用も可能?
• 環境が変わっても、起動時に自分好みの設定
を指定してBurpを利用
• Burpの設定内容を他人と共有する
• 目的・用途によって設定ファイルを使い分ける
プラットフォームごとの
インストーラーも配布
• 1.7.05よりJarファイル以外にも、各プラットフォームに
合わせたインストーラーを配布するように変更
• Burp用のJava Runtime環境もインストールされるように
なっている
最近Burp Suiteに追加された
新機能とは?
追加された三つの新機能
• Burp Infiltrator (1.7.04:Pro Only)
• Burp Clickbandit (1.6.32)
• Burp Collaborator (1.6.15:Pro Only)
Burp Clickbandit
• クリックジャッキングのpocジェネレーター
• Web開発者ツールを利用し、コピペしたJavaScriptを実
行することで、簡単にpocのhtmlを作成することが可能
Burp Suite Help - ...
Burp Infiltrator
• 診断対象のアプリケーションのバイトコードにパッチをあ
てて、安全ではないAPIの呼び出しを検知するという機能
• 現状では以下の言語をサポート
– Java, Groovy, Scala, その他JVMで動...
Burp Collaborator
• Burp Collaborator serverと連携することで、従来の
ブラックボックステストは検出しにくいとされてきた
脆弱性の検出を図る機能
• 最近最も力をいれて開発されていると思われる
Burp...
診断対象からBurp Collaborator serverへの
通信を定期的に監視
PortSwigger Web Security Blog: Introducing Burp Collaborator より引用
http://blog.p...
外部アクセスを誘発するようなペイロードを送信
• Burp Scannerに本機能を利用する様々なシグネチャが追加
• 現在はペイロードにて送信したドメインに対しての
HTTPアクセス、DNS lookup を監視
PortSwigger We...
Private Burp Collaborator Server
Burp Collaborator Documentation :
https://portswigger.net/burp/help/collaborator_deployin...
Burp Collaborator client
• 1.7.09にて手動診断でBurp Collaboratorを利用できる
機能及びAPIなどが追加
(0゜・∀・)wktk
と思っていたら…
キタ━━━(゚∀゚).━━━!!!
Burp Suite Professional - release notes: 1.7.12 :
http://releases.portswigger.net/2016/11/1712.html
• なん...
まとめ
進化し続けるBurp Suite
今後も目が離せない!
is VERY COOL!!
Upcoming SlideShare
Loading in …5
×

最近のBurp Suiteについて調べてみた

5,767 views

Published on

2016/11/18にBurp Suite Japan LT Carnivalで登壇した時の資料です。

Published in: Technology

最近のBurp Suiteについて調べてみた

  1. 1. 最近のBurp Suite について調べてみた @tigerszk Burp Suite Japan LT Carnival 2016/11/18
  2. 2. 自己紹介 Shun Suzaki(洲崎 俊) ユーザ企業のセキュリティチームに所属する セキュリティエンジニア Twitter: とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライドなど http://www.slideshare.net/zaki4649/
  3. 3. クライアントProxyは Webセキュリティエンジニアの必携tool • あなたはどれがお好みですか? • 色々併用して使っている人も多いはず • 過去には「Proxy War」というセッションも やってみたりも! 「Proxy War」 http://www.slideshare.net/zaki4649/proxy-war-42161988
  4. 4. 僕はやっぱりBurpが一番好き!
  5. 5. User Groupにも是非ご参加を!  使い方についての質問やExtensionの共有など、日本でのBurp Suiteに 関する情報共有を目的としたサイボウズLiveグループを作成  参加ご希望の方は公式twitterにDMでサイボウズLiveアカウントの メールアドレスをご連絡ください! @BurpSuiteJapan
  6. 6. そんなBurp Suiteですが
  7. 7. 最近は非常にアップデートが多い • 2015年からかなり頻繁にアップデート • ちなみに今年は今の所6月以外は全ての月で、 新しいバージョンがリリース 1 18 11 9 14 17 13 24 19 2008 2009 2010 2011 2012 2013 2014 2015 2016 ※2016/11/18時点での集計結果 Burp Suiteのアップデート件数推移
  8. 8. 某本の著者からもこんな悲鳴が、、、
  9. 9. 最近Burp Suitで どんなアップデートがあったのか 調べてみました! というわけで それだけ沢山更新していれば 当然新しい機能の追加や 既存機能を色々改善しているはず!
  10. 10. ちょっと頑張って調べてみた • とりあえず2015年~2016年のアップデート内容に ついてリリースノートを全部読んでまとめてみた
  11. 11. アップデートの主な内容(2015年~2016年) • 実はアップデートの約半分くらいは Burp Scanner機能の改善関連 • また、この2年で色々新機能が追加 • 2016年4月におよそ2年ぶりに メジャーアップデートがあり1.7系に!
  12. 12. ちなみに調べていて思ったこと • リリースノートは画像付きとかで結構詳しく書 いてある • また技術詳細などをブログで解説してくれて いたりするので非常に勉強になる Burp Suite Professional - release notes http://releases.portswigger.net/
  13. 13. カンファレンスなどで発表されたネタに 関連するリリースも結構ある • server-side template injectionの検出(1.6.24) http://releases.portswigger.net/2015/08/1624.html Black Hat USAで発表されたネタっぽい https://www.blackhat.com/us-15/briefings.html#server-side-template- injection-rce-for-the-modern-web-app • CORSに関する報告についてのスキャナロジックを強化(1.7.08) http://releases.portswigger.net/2016/10/1708.html APPSEC USAで発表されたネタっぽい https://portswigger.net/knowledgebase/papers/ExploitingCORSMisconfigurations. pdf • レスポンスを分析し変化を検出する拡張用のAPIが追加 &そのAPIを利用したBurp extensionをリリース(1.7.10) http://releases.portswigger.net/2016/11/1710.html Black Hat EUで発表されたネタっぽい https://www.blackhat.com/eu-16/briefings.html#backslash-powered-scanning- hunting-unknown-vulnerability-classes
  14. 14. 今回のLTではこの二つをちょっと解説 • 1.7系での変更点 • 最近追加された新機能の概要
  15. 15. 1.7系にメジャーアップデート して何が変わった?
  16. 16. 約2年ぶりのメジャーバージョンアップ • 2008年 12月 ver 1.2 release • 2009年 11月 ver 1.3 release • 2011年 1月 ver 1.4 release • 2012年 9月 ver 1.5 release • 2014年 3月 ver 1.6 release • 2016年 4月 ver 1.7 release NEW!
  17. 17. Projectという概念が追加 • Burp起動時にProjectを作成させるような ウィザードが追加されている
  18. 18. Projectファイルとは? • 全てのデータ(厳密には全てじゃないけど)と 設定構成を保持するファイル • 最初にプロジェクトデータを作成すれば、 セーブをしなくても作業中に勝手にファイルに データが保存される • 残念ながらFree版ではProjectファイルの作成 ができない
  19. 19. 設定Optionが2つに分割 • 1.6系 • 1.7系
  20. 20. Project Options • 診断対象に関連する設定項目 – ターゲットスコープ – プロキシリスナー – リダイレクトやヘッダなど 詳細なHTTPオプション – SSL設定 …etc
  21. 21. User Options • ユーザ固有の設定項目 – フォントなどUIの見た目 – ホットキーなど操作に関する設定 – 上位プロキシの設定 – 拡張機能 …etc
  22. 22. 設定の保存、読み込みが可能 • それぞれjson形式にて設定を保存でき、 設定を読み込むことが可能 • APIやコマンドライン引数なども追加されている
  23. 23. こんな運用も可能? • 環境が変わっても、起動時に自分好みの設定 を指定してBurpを利用 • Burpの設定内容を他人と共有する • 目的・用途によって設定ファイルを使い分ける
  24. 24. プラットフォームごとの インストーラーも配布 • 1.7.05よりJarファイル以外にも、各プラットフォームに 合わせたインストーラーを配布するように変更 • Burp用のJava Runtime環境もインストールされるように なっている
  25. 25. 最近Burp Suiteに追加された 新機能とは?
  26. 26. 追加された三つの新機能 • Burp Infiltrator (1.7.04:Pro Only) • Burp Clickbandit (1.6.32) • Burp Collaborator (1.6.15:Pro Only)
  27. 27. Burp Clickbandit • クリックジャッキングのpocジェネレーター • Web開発者ツールを利用し、コピペしたJavaScriptを実 行することで、簡単にpocのhtmlを作成することが可能 Burp Suite Help - Clickbandit : https://portswigger.net/burp/help/suite_functions_clickbandit.html
  28. 28. Burp Infiltrator • 診断対象のアプリケーションのバイトコードにパッチをあ てて、安全ではないAPIの呼び出しを検知するという機能 • 現状では以下の言語をサポート – Java, Groovy, Scala, その他JVMで動く言語 (JRE versions 1.4 - 1.8) – C#, VB, or その他.NET Frameworkで動く言語(.NET versions 2.0 and later) Burp Infiltrator Documentation https://portswigger.net/burp/help/infiltrator.html
  29. 29. Burp Collaborator • Burp Collaborator serverと連携することで、従来の ブラックボックステストは検出しにくいとされてきた 脆弱性の検出を図る機能 • 最近最も力をいれて開発されていると思われる Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator.html
  30. 30. 診断対象からBurp Collaborator serverへの 通信を定期的に監視 PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html
  31. 31. 外部アクセスを誘発するようなペイロードを送信 • Burp Scannerに本機能を利用する様々なシグネチャが追加 • 現在はペイロードにて送信したドメインに対しての HTTPアクセス、DNS lookup を監視 PortSwigger Web Security Blog: Introducing Burp Collaborator より引用 http://blog.portswigger.net/2015/04/introducing-burp-collaborator.html
  32. 32. Private Burp Collaborator Server Burp Collaborator Documentation : https://portswigger.net/burp/help/collaborator_deploying.html • Collaborator Serverは自分達で用意することも可能
  33. 33. Burp Collaborator client • 1.7.09にて手動診断でBurp Collaboratorを利用できる 機能及びAPIなどが追加
  34. 34. (0゜・∀・)wktk
  35. 35. と思っていたら…
  36. 36. キタ━━━(゚∀゚).━━━!!! Burp Suite Professional - release notes: 1.7.12 : http://releases.portswigger.net/2016/11/1712.html • なんとLTイベント終了後すぐに1.7.12がリリース! • 予想通りBurp CollaboratorがSMTPプロトコルに対応
  37. 37. まとめ 進化し続けるBurp Suite 今後も目が離せない! is VERY COOL!!

×