Enviar pesquisa
Carregar
Bapp Storeを調べてみたよ!
•
3 gostaram
•
3,598 visualizações
Z
zaki4649
Seguir
2018/7/5に第2回Burp Suite Japan LT Carnivalで登壇した時の資料です。
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 14
Recomendados
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
とある診断員とAWS
とある診断員とAWS
zaki4649
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Recomendados
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
とある診断員とAWS
とある診断員とAWS
zaki4649
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
Burp Suite 2.0触ってみた
Burp Suite 2.0触ってみた
Yu Iwama
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
ソーシャルゲームのためのデータベース設計
ソーシャルゲームのためのデータベース設計
Yoshinori Matsunobu
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
kwatch
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
Shohei Koyama
WebSocketのキホン
WebSocketのキホン
You_Kinjoh
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!
kazkiti
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
tobaru_yuta
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
目grep入門 +解説
目grep入門 +解説
murachue
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版
貴志 上坂
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
BurpSuiteの大変な一日
BurpSuiteの大変な一日
zaki4649
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
Mais conteúdo relacionado
Mais procurados
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
Burp Suite 2.0触ってみた
Burp Suite 2.0触ってみた
Yu Iwama
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
ソーシャルゲームのためのデータベース設計
ソーシャルゲームのためのデータベース設計
Yoshinori Matsunobu
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
kwatch
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
Shohei Koyama
WebSocketのキホン
WebSocketのキホン
You_Kinjoh
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!
kazkiti
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
tobaru_yuta
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
目grep入門 +解説
目grep入門 +解説
murachue
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版
貴志 上坂
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
Mais procurados
(20)
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Burp Suite 2.0触ってみた
Burp Suite 2.0触ってみた
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ソーシャルゲームのためのデータベース設計
ソーシャルゲームのためのデータベース設計
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
WebSocketのキホン
WebSocketのキホン
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
CVE、JVN番号の取得経験者になろう!
CVE、JVN番号の取得経験者になろう!
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
目grep入門 +解説
目grep入門 +解説
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Semelhante a Bapp Storeを調べてみたよ!
BurpSuiteの大変な一日
BurpSuiteの大変な一日
zaki4649
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
Yusuke Yamamoto
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Toshiaki Maki
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Kazuko Shikiya
Semelhante a Bapp Storeを調べてみたよ!
(6)
BurpSuiteの大変な一日
BurpSuiteの大変な一日
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Último
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
Último
(8)
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
Bapp Storeを調べてみたよ!
1.
Bapp Store を調べてみた! @tigerszk 第2回 Burp
Suite Japan LT Carnival 2018/7/5
2.
自己紹介 Shun Suzaki(洲崎 俊) ITイベントの参加・開催や日々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア Twitter: とある診断員@tigerszk •
ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
3.
BappStoreって? • Burpの機能を拡張するためのBurp Extenderを配布するための portswigger公式のレポジトリ •
BurpのUIから利用でき、ワンタッチで機能をインストールで きる • Web経由でダウンロードすることもできる • 申請すれば、誰でもExtenderを配布できるっぽい
4.
自分で評価もできる
5.
今一体いくつくらいあるの? そういや、しばらく見てなかったけど 今どれくらいExtenderって公開されてい るんだろ?
6.
調べてみたら、なんと… 169個も公開されてた!! ※2018年7月5日時点の集計
7.
というわけで、いい機会だから とりあえず上から見ていきました ※今回説明は読みましたが全部はとても動作検証できませんでしたorz…
8.
1. Active Scan++ 公式が出している、Burpのアクティブスキャン機能とパッシブ スキャン機能を拡張するExtender 2.
J2EEScan J2EEアプリケーションに特化したBurpのスキャン機能を拡張 するExtender 3. Retire.js Retire.jsのBurp版。脆弱なJavaScriptライブラリを見つけ出す ためのExtender 4. JSON Beautifier HTTPメッセージビューアでJSONコンテンツを読みやすく出力 してくれるExtender 5. Software Vulnerability Scanner Vulners.com APIを使用したソフトウェアバージョンの脆弱性 をスキャンしてくれるExtender Popularity Top 10 便利!おススメ 便利!おススメ
9.
Popularity Top 10 6.
Backslash Powered Scanner 公式が出している、以下のBlogの手法を用いてインジェクション 脆弱性を検出するためのExtender 参照:https://portswigger.net/blog/backslash-powered-scanning-hunting- unknown-vulnerability-classes 7. CSRF Scanner CSRFをPassiveスキャンで検知するのに利用できるExtender 8. Java Deserialization Scanner Javaのデシリアライゼーションの脆弱性を検出するための Extender 9. Additional Scanner Checks BurpSuiteには標準搭載されていないパッシブスキャナのチェック を追加するExtender DOMベースのXSS・HTTPヘッダ関連など 10. CO2 Wep Pentestに役立つBurpの機能を拡張するためのさまざまなモ ジュールの詰め合わせセット オモロいのでちょっと紹介w
10.
個人的に便利かなと思ったもの • Logger++ Proxy、Repeater、Scannerなどのリクエスト/レ スポンスが一覧で参照可能、ログの保存も可能な Extender • Paramalyzer スコープの対象内について、パラメータと送信した 値などを集計してくれるExtender •
Reissue Request Scripter HTTP historyタブの通信を送信する script(Python,Ruby,Perl,PHP,PowerShell,Javascr iptなど)を自動的に生成してくれる ※Copy as 〇〇という似たようなExtenderシリー ズもあるっぽい。
11.
こんなのもあった • mine-sweeper 悪意ある仮想通貨マイニングドメインから読み こまれているスクリプトを検出するための Extender • Image
Location & Privacy Scanner 画像内のGPS情報や埋め込まれたプライバシー 関連の情報をPassiveスキャンで検知する Extender • Yara その名の通りYaraと連携するためのExtender
12.
それ別にBurpでじゃなくても… • Burp Chat XMPP/Jabberを利用してなんとBurp上で チャットするExtenderらしい •
Notes その名の通り、Burp上でメモするための Extender。なんと表も書ける。 • CVSS Calculator Burp上でCVSS v2 及び v3 scoresのスコア値 を算出できるExtender
13.
まとめ • 全部はとても試しきれなかったので、今回気に なったものを後で色々試したい! • なんでも感でもBurp上でやろう感が満載な Extenderとかがあって面白かったw •
あなたのお好みのExtenderがあるかもしれな いのでのぞいてみてはいかがでしょうか?