前回から約2ヶ月。脆弱性診断勉強会の2回目です。
https://vatkobe.connpass.com/event/79340/
最初のアナウンスでは、前回とほぼ同じ内容ということで参加を悩んだのですが、
いつの間にか診断対象が変わっていたので申し込んでいました。
会場は前回と同じ。何回か行かせていただいているので、もう迷いません。
これのおかげで自分の中では神戸のデートスポットとしてすっかり定着しましたし。
おうち帰ってレポるまでが勉強会。
記憶のあるうちに一気にメモ開放です。
(1)諸注意
扱う内容は、公開サイトでは絶対に試してはいけない
(2)HTTPメッセージの解説
HTTPリクエストとレスポンスの話。脆弱性診断で必須の知識ですね。
(3)BurpSuiteの紹介
第1回との違いが大きな違いがこれ。
利用ツールがZAPからBurp Suiteに変わっていました。
Burp Suiteはそれなりに使っているつもりでしたが、この1〜2年の変化には
まるでついて行けてませんでした。
かなり機能強化がなされているようで、今後使ってみようと思った機能がわんさか。
知っているものとそうでないもの含めて、こんな感じ。
・プロジェクトないしユーザオプションとして設定内容を保存できる。
・(勉強会後に聞いた)フリー版も日本語化できる!?
https://github.com/ankokuty/Belle
https://www.slideshare.net/BurpSuiteJapanUserGr/burpsuitejapanburp-suite
・サイトにアクセスした後、Targetタブ→Site map->目的のサイトを
右クリックすることでスコープに追加できる。
・Proxyタブ→Options
Intercept Client Requestsの「Is in target scope」にチェックを入れると、
Targetタブで上記で設定したサイトのパケットのみキャプチャする。
この状態でIntercept Server Responsesの「Request Was intercepted」に
チェックを入れると、クライアントでキャプチャしたものに対する
レスポンスだけキャプチャするようになる。
・intruder機能
登録した診断パターンを自動的に送信する機能。
攻撃したときにレスポンスを右クリックするとブラウザ表示もできる。
・repeater機能
同じリクエストを繰り返し送信できる。
・パラメータにおける特殊文字のエンコード
Decorderタブからエンコード設定ができる。
→今までわざわざ別ツールでエンコードしてた。乗換決定。
・リクエストレスポンスの文字化け対策
User optionsタブ->Displayタブ
Http Message Displayの文字コードは設定してたけど、Character Setsがあったのね。
(4)診断対象:BadStoreへの診断ハンズオン
以前はVMやISOで公開されてたが、現在は廃止されている。
有志の方がBurpSuiteの拡張(箱庭BadStore)を作っている。
https://github.com/ankokuty/HakoniwaBadStore
VM版の完全コピーではないが、お勉強に使う分には十分行けそう。
なお、攻撃しまくるといろいろと死ぬことがあるので、その際は初期化URLを叩く
(初期化URLメモし損ねた…)。
・情報セキュリティサービス基準と脆弱性対策ガイドライン
http://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html
https://www.owasp.org/index.php/Pentester_Skillmap_Project_JP
・ハンズオン:SQLインジェクション、XSS
検索機能の脆弱性を試す。
'
と
''
を入れて挙動に違いがあるとSQLi。
ガイドラインに
and 'a'='a'
とあるが、実際には
or 'a' = 'a' --
で試すなどの工夫がいる
ガイドラインに書いているのは、あくまでも最低限やるべき分という位置づけ。
これをやれば万事OKという意味ではない。
・上級編:管理者ユーザでログインせよ
union句使ってユーザテーブルから探る方法。
パスワード変更機能とユーザ登録機能を使って調べる方法。
・まとめ
ツールの使い方ができたからといって「診断ができる」ではない。
脆弱性検証技術には個人差がある。常に精進すべし
(5)懇親会
沖縄そば美味しかった。
