とあるBurpのExtension:ISTE編

ツール作成

今回は知り合いが作成したBurpのExtensionを使ってみて~とお知らせを頂いたので、こちらを使用してみての感想を記事にしたいと思います。

なお、ブログの記事にしてもいいという許可は頂いておりますので、ご安心ください。

この記事を見てみて自分も使ってみたいと思った方は是非とも使用してみてください。

使用するExtensionについて

GitHubに公開されている以下のExtensionを使用します。(GitHubのリンクが張ってあります。)

ISTE: Integrated Security Testing Environment

Webアプリケーションの脆弱性診断をトータルサポートする Burp extension(Burp Suiteの拡張機能)です。
診断員を煩雑な作業から解放し、全集中へと導きます。

なるほど、流行りに乗っていますね(笑)

このリンクから、以下のページに行けますので、赤枠の箇所から.jarファイルがダウンロードできます。

記事作成時(2021年2月時点)では「iste-0.1.1-alpha.jar」が最新版となっているようです。

今回は検証のため「iste-0.1.1-alpha.jar」を使用していますが、通常は安定版「iste-0.1.0.jar」を使用してもらえればと思います。

導入については「README.me」を読んでもらえば問題ないかと思います。

たまにソース読まないと使い方わかんないツールあったりするので、親切設計ですね。

動作確認

初めに、私の実行環境はWindowsのインストーラで入れた「burp v2021.2.1」を使用しています。

バージョンや環境によって動作が変わる可能性があるので、予めご了承ください。
※全部は検証できていません。

以下がExtensionを入れて、ISTEのタブに切り替えた画面です。

非常にきれいにできていて見やすいです。

前に記事にした以下のVMに対して使用してみようと思います。

Vulnhubをやってみる!Kioptix Level 1.1編

ログイン画面と、ログイン処理の部分のリクエスト&レスポンスを取得したら、以下のようにhistoryから送りたいリクエストを「Send to ISTE」することで、ISTEタブに送ることができました。

以下のようにName箇所で画面名も付けられ、画面ごとにメモも付けられるのもいいですね。

また、画面上にReperter機能もついているので、こちらで操作することも可能です。

このリピータで操作したログは以下のように画面上の一覧となって確認できるので、便利です。

個人的には応答時間(time)の箇所も一覧で確認できるので、OSコマンドインジェクションやSQLインジェクションの「sleep」で時間に差が出る検査の場合に非常に重宝します。

以下はChainを使用した際の画面です。

ここでは、burpのmacroで行うようなパラメータの引継ぎ等を行うことが可能でした。

通常のburpと同じように正規表現で入力できるので、使用感が変わらずいい感じです。

具体的に使用はできていませんが、アカウントごとの認証に対してもセッションを引きついで、Repeaterに送ることが可能とのことです。

以下がAccount Tableの作成箇所です。

Accountを入力するときにcsvファイルやテキストを読み込ませる機能があると楽になるかなとか考えたり。

ChainでAccount Tableの値を引っ張れたりするのかなとか思っていろいろやってみたんですが、反映されず。(これは私の使い方や設定方法が悪い気も)

⇒現在のところ、Authタブの「Edit authentication request chain」の箇所だけで、Account Tableの値を参照できるようです。
※作成者が教えてくれました。感謝!

パラメータに対してIntruder的な反映ができると捗りそう。

ツールを使ってみて

非常に良いツールでした。

バージョンが「v0.1.1-alpha」、「iste-0.1.0」ということで、今後にも期待できます。

Repeaterの箇所が見やすくなったりメモがつけやすくなったり、Chainの機能があったりするだけで、診断作業としては非常に楽になるのではないかと思います。
※他人のburpのログ(プロジェクトも含め)を見るのは現時点だと結構つらい・・・

記録(メモ)がログそのものにできるのは良いと思います。

現状もログの保存は可能ですが、再度プロジェクトとして開くには商用版でプロジェクトとして保存するしかないかと思います。

私は専ら使う専門ですが、こういったツールを作成し、しかも公開するのは非常に尊敬します。

検証の依頼を頂き、本当にありがとうございました。

コロナが落ち着いたら、また一緒にいろいろできたらと思います!(お酒飲みとか)

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える新しい情報漏えいを防ぐ技術 第2版/翔泳社/上野宣

posted with カエレバ
楽天市場
Amazon
7net
スポンサーリンク

コメント