Submit Search
Upload
Bapp Storeを調べてみたよ!
•
3 likes
•
3,577 views
Z
zaki4649
Follow
2018/7/5に第2回Burp Suite Japan LT Carnivalで登壇した時の資料です。
Read less
Read more
Technology
Report
Share
Report
Share
1 of 14
Recommended
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
Vue.js で XSS
Vue.js で XSS
tobaru_yuta
Google Cloud で実践する SRE
Google Cloud で実践する SRE
Google Cloud Platform - Japan
TLS, HTTP/2演習
TLS, HTTP/2演習
shigeki_ohtsu
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
More Related Content
What's hot
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
Ito Takayuki
JavaScript難読化読経
JavaScript難読化読経
Yosuke HASEGAWA
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)
Naohiro Fujie
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
ドメイン駆動設計のための Spring の上手な使い方
ドメイン駆動設計のための Spring の上手な使い方
増田 亨
テストコードの DRY と DAMP
テストコードの DRY と DAMP
Yusuke Kagata
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
kazkiti
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
ユーザーストーリー駆動開発で行こう。
ユーザーストーリー駆動開発で行こう。
toshihiro ichitani
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
mosa siru
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
KentaEndoh
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
Microsoft Graph APIを活用した社内アプリケーション開発
Microsoft Graph APIを活用した社内アプリケーション開発
Yuki Hattori
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
貴志 上坂
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
マイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPC
disc99_
こんなに使える!今どきのAPIドキュメンテーションツール
こんなに使える!今どきのAPIドキュメンテーションツール
dcubeio
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
What's hot
(20)
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
JavaScript難読化読経
JavaScript難読化読経
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
ドメイン駆動設計のための Spring の上手な使い方
ドメイン駆動設計のための Spring の上手な使い方
テストコードの DRY と DAMP
テストコードの DRY と DAMP
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
ユーザーストーリー駆動開発で行こう。
ユーザーストーリー駆動開発で行こう。
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについて
Microsoft Graph APIを活用した社内アプリケーション開発
Microsoft Graph APIを活用した社内アプリケーション開発
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
マイクロサービスバックエンドAPIのためのRESTとgRPC
マイクロサービスバックエンドAPIのためのRESTとgRPC
こんなに使える!今どきのAPIドキュメンテーションツール
こんなに使える!今どきのAPIドキュメンテーションツール
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
Similar to Bapp Storeを調べてみたよ!
BurpSuiteの大変な一日
BurpSuiteの大変な一日
zaki4649
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
Yusuke Yamamoto
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Toshiaki Maki
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Kazuko Shikiya
Similar to Bapp Storeを調べてみたよ!
(6)
BurpSuiteの大変な一日
BurpSuiteの大変な一日
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
失敗から学ぶAPI設計 #ccc_h4 #jjug #jjug_ccc JJUG CCC 2013 Spring
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
Raspberry PiにUSBカメラを付けて撮影した写真をTwitterにアップする
More from zaki4649
とある診断員とAWS
とある診断員とAWS
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
Proxy War
Proxy War
zaki4649
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
とある診断員のSECCONオンライン予選
とある診断員のSECCONオンライン予選
zaki4649
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
はじめてのWi-Fiクラック
はじめてのWi-Fiクラック
zaki4649
More from zaki4649
(8)
とある診断員とAWS
とある診断員とAWS
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
Proxy War
Proxy War
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
とある診断員のSECCONオンライン予選
とある診断員のSECCONオンライン予選
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
はじめてのWi-Fiクラック
はじめてのWi-Fiクラック
Recently uploaded
2024 04 minnanoito
2024 04 minnanoito
arts yokohama
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
Tetsuya Nihonmatsu
【修士論文】代替出勤者の選定業務における依頼順決定方法に関する研究 千坂知也
【修士論文】代替出勤者の選定業務における依頼順決定方法に関する研究 千坂知也
harmonylab
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
arts yokohama
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
Matsushita Laboratory
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
Shumpei Kishi
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
ssuser539845
2024 03 CTEA
2024 03 CTEA
arts yokohama
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
Sadao Tokuyama
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
ssuser370dd7
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
arts yokohama
Summary of "ChatDoctor: A Medical Chat Model Fine-Tuned on a Large Language M...
Summary of "ChatDoctor: A Medical Chat Model Fine-Tuned on a Large Language M...
yoshidakids7
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
Industrial Technology Research Institute (ITRI)(工業技術研究院, 工研院)
Recently uploaded
(13)
2024 04 minnanoito
2024 04 minnanoito
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
【修士論文】代替出勤者の選定業務における依頼順決定方法に関する研究 千坂知也
【修士論文】代替出勤者の選定業務における依頼順決定方法に関する研究 千坂知也
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
2024 03 CTEA
2024 03 CTEA
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
Summary of "ChatDoctor: A Medical Chat Model Fine-Tuned on a Large Language M...
Summary of "ChatDoctor: A Medical Chat Model Fine-Tuned on a Large Language M...
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
Bapp Storeを調べてみたよ!
1.
Bapp Store を調べてみた! @tigerszk 第2回 Burp
Suite Japan LT Carnival 2018/7/5
2.
自己紹介 Shun Suzaki(洲崎 俊) ITイベントの参加・開催や日々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア Twitter: とある診断員@tigerszk •
ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
3.
BappStoreって? • Burpの機能を拡張するためのBurp Extenderを配布するための portswigger公式のレポジトリ •
BurpのUIから利用でき、ワンタッチで機能をインストールで きる • Web経由でダウンロードすることもできる • 申請すれば、誰でもExtenderを配布できるっぽい
4.
自分で評価もできる
5.
今一体いくつくらいあるの? そういや、しばらく見てなかったけど 今どれくらいExtenderって公開されてい るんだろ?
6.
調べてみたら、なんと… 169個も公開されてた!! ※2018年7月5日時点の集計
7.
というわけで、いい機会だから とりあえず上から見ていきました ※今回説明は読みましたが全部はとても動作検証できませんでしたorz…
8.
1. Active Scan++ 公式が出している、Burpのアクティブスキャン機能とパッシブ スキャン機能を拡張するExtender 2.
J2EEScan J2EEアプリケーションに特化したBurpのスキャン機能を拡張 するExtender 3. Retire.js Retire.jsのBurp版。脆弱なJavaScriptライブラリを見つけ出す ためのExtender 4. JSON Beautifier HTTPメッセージビューアでJSONコンテンツを読みやすく出力 してくれるExtender 5. Software Vulnerability Scanner Vulners.com APIを使用したソフトウェアバージョンの脆弱性 をスキャンしてくれるExtender Popularity Top 10 便利!おススメ 便利!おススメ
9.
Popularity Top 10 6.
Backslash Powered Scanner 公式が出している、以下のBlogの手法を用いてインジェクション 脆弱性を検出するためのExtender 参照:https://portswigger.net/blog/backslash-powered-scanning-hunting- unknown-vulnerability-classes 7. CSRF Scanner CSRFをPassiveスキャンで検知するのに利用できるExtender 8. Java Deserialization Scanner Javaのデシリアライゼーションの脆弱性を検出するための Extender 9. Additional Scanner Checks BurpSuiteには標準搭載されていないパッシブスキャナのチェック を追加するExtender DOMベースのXSS・HTTPヘッダ関連など 10. CO2 Wep Pentestに役立つBurpの機能を拡張するためのさまざまなモ ジュールの詰め合わせセット オモロいのでちょっと紹介w
10.
個人的に便利かなと思ったもの • Logger++ Proxy、Repeater、Scannerなどのリクエスト/レ スポンスが一覧で参照可能、ログの保存も可能な Extender • Paramalyzer スコープの対象内について、パラメータと送信した 値などを集計してくれるExtender •
Reissue Request Scripter HTTP historyタブの通信を送信する script(Python,Ruby,Perl,PHP,PowerShell,Javascr iptなど)を自動的に生成してくれる ※Copy as 〇〇という似たようなExtenderシリー ズもあるっぽい。
11.
こんなのもあった • mine-sweeper 悪意ある仮想通貨マイニングドメインから読み こまれているスクリプトを検出するための Extender • Image
Location & Privacy Scanner 画像内のGPS情報や埋め込まれたプライバシー 関連の情報をPassiveスキャンで検知する Extender • Yara その名の通りYaraと連携するためのExtender
12.
それ別にBurpでじゃなくても… • Burp Chat XMPP/Jabberを利用してなんとBurp上で チャットするExtenderらしい •
Notes その名の通り、Burp上でメモするための Extender。なんと表も書ける。 • CVSS Calculator Burp上でCVSS v2 及び v3 scoresのスコア値 を算出できるExtender
13.
まとめ • 全部はとても試しきれなかったので、今回気に なったものを後で色々試したい! • なんでも感でもBurp上でやろう感が満載な Extenderとかがあって面白かったw •
あなたのお好みのExtenderがあるかもしれな いのでのぞいてみてはいかがでしょうか?