まったり技術ブログ

Technology is power.

Burp Suite拡張プラグイン作成入門 その3 - 新規UI(タブ)追加 編

f:id:motikan2010:20180218185211p:plain

 今回はBurp Suiteに新規タブ(画面)を追加していきます。

画面を追加することによって、複雑な機能を追加させることが可能になります。

完成物

 「Alerts」タブの右側に新規に「Sample Tab Extender」という名前のタブが追加されているのが確認できます。

 画像のプラグインでは「Save Request」というコンテキストメニューを押下後、新規タブの左側のテーブルに保存されます。

 テーブル内の行を選択したら、右側にテキストエリアに通信のリクエスト(上部)とレスポンス(下部)が表示されます。 今回はこのような新規タブの追加方法・レイアウトについて記載します。

続きを読む

Burp Suite拡張プラグイン作成入門 その2 - リクエスト&レスポンス取得 編

f:id:motikan2010:20180213000116j:plain

前回に引き続き、今回はBurp Suiteの機能を活かした拡張プラグインを作成していきます。

blog.motikan2010.com

完成物

今回作成するプラグインは下記のようなものになります。
f:id:motikan2010:20180213000221p:plain:w500

f:id:motikan2010:20180213000237p:plain:w500

f:id:motikan2010:20180213000248p:plain:w500

 まだ実用するには程遠いですが、Burp Suiteの特徴的な機能である 「リクエスト&レスポンス」の情報にアクセスすることが可能になります。

続きを読む

Burp Suite拡張プラグイン作成入門 その1 - Hello world編

f:id:motikan2010:20180211221846p:plain

 Webアプリケーションのセキュリティを診断するツールとして、Burp Suiteが代表の1つとしてあり、拡張プラグインに頼らなくても標準の機能で多種類の診断を行うことができるほど多機能です。

 しかし、Webアプリケーションによっては遷移方法が特殊な場合がありは、拡張プラグインに頼らなくてはいけない場合もあります。 (値が更新されるCSRFトークンが存在する等)

 そこで、Burp Siteでは「BApp Store」に多くの人が開発した、拡張プラグインが公開されています。

 「BApp Store」で公開されている拡張プラグインで事足りるのであれば、独自に拡張プラグインを開発する必要はないと思っています。

portswigger.net

 しかし、公開されている拡張プラグインで対応できない診断対象に対応するためにも、独自に拡張プラグインを作成し、より妥協のないセキュリティ診断を行うためにも拡張プラグインの開発方法を学習していきます。

続きを読む

【THE 備忘録】Burp Suiteを使ってHTTPSサイトにアクセス

証明書のインポート毎に忘却しており、証明書探しの旅に出てしまっているので「THE 備忘録」

やること
  • Burp SuiteのSSL証明書をFirefoxにインポート
使ったブラウザ
  • Firefox : 57.0.4

手順

初期状態だと証明書エラー

f:id:motikan2010:20180124004545p:plain

続きを読む

【Java】GsonとJacksonのJSONパース処理速度を比べてみる

f:id:motikan2010:20180120011546j:plain

 JSONのパース処理はいろんな場面で利用していますが、処理速度を意識して利用していなかった。
 そこでJSONパーサーライブラリの処理速度を比べてみて、いざという時に備えておく。

比べるライブラリは下記の2種類

Gson

github.com

Jackson

github.com

下記のパターン(特徴)で比較

  • ノーマル
  • Date型
  • 長い文字列
  • Date型 ×2
  • 大量のメンバ変数

結果から言うと、Jacksonが優勢であった。

続きを読む