MBSDトップページ>
MBSD Blog>
Burp Suite Japan LT Carnivalイベントレポート

Burp Suite Japan LT Carnivalイベントレポート

2018.07.13
プロフェッショナルサービス事業部
洲崎俊

皆さんこんにちは、私は、MBSDに所属する『とある診断員』の洲崎と申します！今回は、7/5に開催されたBurp Suite Japan LT Carnivalというイベントの内容を弊社ブログにてレポートいたします。

Burp Suiteというツールを知っていますか？

皆さんはBurp Suiteというツールをご存知でしょうか？Burp SuiteとはPortSwigger社が開発している脆弱性診断ツールであり、「ローカルプロキシ」と呼ばれる機能を持ったソフトウェアの一つです。

ローカルプロキシのイメージ図

ローカルプロキシとはその名の通りクライアントのLocal環境で動作するプロキシのことで、このソフトウェアを利用することで、HTTPプロトコルの通信内容の詳細を確認したり、通信内容を編集して送信することなどが簡単に行えます。ローカルプロキシの有名処では他にもFiddlerやOwasp ZAPといったものがありますが、その中でも特にセキュリティエンジニアに人気が高いと言われているのがBurp Suiteです。脆弱性診断を行う上でも必携ツールの一つであり、筆者も大変良く利用しています。弊社ブログにおいても過去Burp Suiteを題材とした以下のような記事を公開しております。

Burp Suiteの紹介

https://www.mbsd.jp/blog/20151104.htm

Burp Suite拡張を作ろう

https://www.mbsd.jp/blog/20160914.html

Burp Suiteの国内ユーザグループを発足

Burp Suiteは素晴らしいツールなのですが、ツールの表記やドキュメントなどがすべて英語であり、ローカライズがあまりされていないという欠点がありました（そんなこと言ってないで、いいから英語を読めよ！というご指摘もあるかと思いますが（笑））。自分達も非常に愛用しているツールでありますし、もっと多くの人達にこのツールを利用してほしいという思いもあり、2015年にBurpSuiteに関する情報の共有やドキュメントの作成などを目的として、日本国内の有志メンバーで「Burp Suite Japan User Group」というユーザグループを立ち上げました。ちなみに筆者もその立ち上げメンバーの一人です。

ユーザグループ立ち上げの経緯などの詳細については以下のスライドをご覧ください。

https://www.slideshare.net/abend_cve_9999_0001/burp-suite-japan

「Burp Suite Japan User Group」の現在までの活動としては以下のようなものがあります。

Burp Suiteの初心者向けスタートアップマニュアルを公開

https://github.com/burpsuitejapan/startup/blob/master/startup_manual.pdf

Burp Suiteを用いた脆弱性診断ハンズオンを定期的に開催（近年は「脆弱性診断士スキルマッププロジェクト」と共催という形で開催しています）。

https://www.slideshare.net/BurpSuiteJapanUserGr

Burp Suiteユーザ同士のコミュニケーションの場を用意

サイボウズLiveを利用して、Burp Suiteユーザ同士の情報共有の場を用意しております（※）。以下のtwitterアカウントにご連絡いただければ、招待させていただきますので、どなたでもご参加が可能です。

https://twitter.com/burpsuitejapan

※なお、２０１９年４月１５日にサイボウズLiveのサービスが終了してしまうため、移行先を現在検討中です。

また、上記の他に、Burp Suiteをある程度使いこなしている方をターゲットとしたBurp Suiteユーザ中級者向けのイベント「Burp Suite Japan LT Carnival」というイベントを開催しています。ちなみに第一回目を開催した時にはBurp Suiteの公式アカウントよりこのようなコメントをいただきました（笑）。

Burp Suite公式twitterからのコメント

そして、第一回目よりかなり時間が経過してしまいましたが、先日本イベントの第二回目が開催されました。前置きが非常に長くなりましたが、今回はこちらのイベントの内容について本ブログにてお届けしたいと思います。

第二回Burp Suite Japan LT Carnivalが開催

2018年7月5日に「Burp Suite Japan LT Carnival」の第二回目が開催されました。今回会場をセキュアスカイ・テクノロジーさんにご提供いただき、なんと飲み物や軽食などもご提供いただきました。今回の参加者募集はサイボウズLive内でのみの告知だったにもかかわらず、30名以上の方にご参加いただきました！

図 3 イベント当日はBurp Suite Japan User Group特製ステッカーを配布

当日はBurp SuiteやWebセキュリティに関するLT（ライトニングトーク）が行われ大いに盛り上がりました。恥ずかしながら筆者もBurp Suiteに関する小ネタについて今回二つほどLTさせていただきました！

「Bapp Storeを調べてみたよ！」

Burp Extenderを配布するための PortSwigger社公式のレポジトリである「Bapp Store」というものがあるのですが、そちらで公開されているBurp Extenderについて今回調査をしてみました。調査した結果なんと169ものExtenderが公開されていました（2018年7月5日時点）。本LTはその中から筆者が気になったものをピックアップして紹介してみたという内容のものです。非常に数が多いため今回全てのBurp Extenderを確認することができませんでした。また、Burp Extenderは「Bapp Store」にだけに限らずGithubなどで公開されているものも沢山あるため、もっと調査してみても面白いのではないか考えます。

公開スライド:https://www.slideshare.net/zaki4649/bapp-store

「Burp Suiteの大変な一日」

こちらについては2017年11月16日に起きたBurp Suiteのバグに関する話です。この日、Burp Suiteのバグが原因で、Burp Suite Professional Edition(有償版のBurp Suite)を利用している一部のユーザがBurp Suiteを利用できなくなるという事象が発生しました。筆者もBurp Suiteが利用できなくなったユーザの一人であり、同じような現象に直面してTwitter上にて悲鳴を上げていらっしゃった方を何人も目撃いたしました。現場のエンジニアとしては非常に大変な一日だったのですが、想像以上に同じように困っている方が沢山いらっしゃったので、セキュリティ業界内でのBurp Suiteのシェア率が高いんだなと体感した日でもあります（笑）

公開スライド:https://www.slideshare.net/zaki4649/burpsuite

その他、当日は以下のようなバラエティに富んだ興味深いLTが沢山ありました！

「Burp Suiteのインターフェースを日本語化した話の続編」

第一回Burp Suite Japan LT にて公開したBelle (Burp Suite 非公式日本語化ツール)に関する続編のお話でした。ツールを開発する中で、偶然見つけたManual testing simulatorに隠されたイースターエッグについて発表されていました（笑）

Belle (Burp Suite 非公式日本語化ツール)は以下にて公開されています。

https://github.com/ankokuty/Belle

https://www.mbsd.jp/blog/20151104.html

「Burp SuiteをOCSPに対応してみた」

診断案件で必要となるケースがあり、Burp Suiteの証明書をOnline Certificate Status Protocol（OCSP）に対応させるようなBurp Extenderを開発されたというお話でした。APIも存在しない機能をどう実装したのかが非常に興味深かったです。

「Custom-Request-Handlerを作成した話」

Burp SuiteのSession Handling Rules（セッションIDや特定のパラメータの値の引継ぎなどを設定できる機能）ではパラメータの値をJSONの値としてセットする事をサポートしていないため、自分でBurp Extenderを開発したというお話でした。

本件については、下記のブログにて紹介を公開されています。

Burp Suiteの拡張機能 Custom-Request-Handlerを作成しました

http://blog.cybozu.io/entry/2018/07/05/170000

「Massage Packを送っているアプリを診断するためのツールを作った話」

とある診断案件で、MessagePackを送信しているAPIに遭遇し、そちらを既存の診断ツールで診断するためにMessagePackをJSONに変換するようなプロキシツールを作成したというお話でした。

本件については、下記のブログにて紹介を公開されています。

MessagePack/JSON変換HTTPプロキシの紹介

https://www.securesky-tech.com/column/techlog/12.html

「とあるユーザ企業のセキュリティエンジニアの話」

とあるユーザ企業のセキュリティエンジニアの方が、開発部門の担当者の方から相談された話を題材にしたセキュリティエンジアとしての在り方に関するお話でした。「コードに起因した問題でもシステム全体を見て問題がないという整理ができれば問題ないわけで、セキュリティエンジニアとしてはそういうことを判断できる価値のあるエンジニアをめざしていくべき」という言葉が非常に印象的でした。

「プロキシツールを使うときの小技」

Chromeの起動オプションやFirefoxの標準機能における、クライアントプロキシツールを利用する際に役に立つTipsについてのお話でした。個人的にはブラウザでhostsファイルのような静的な名前指定ができることなどを知らなかったので、非常に興味深かったです。

本件については、スライドが公開されています。

https://speakerdeck.com/hasegawayosuke/purokisiturutokawoshi-utokifalsexiao-ji

本イベントでは、このようなLTが次々と行われて行ったのですが、ただ登壇者が話して終わりというわけではなく、会場内の参加者の方と非常にフランクな感じで質疑応答が行われていたのが印象的でした。今回のイベントでは業務にて脆弱性診断に行っている参加者の方が非常に多く、日頃の困っていることや疑問に思っていることなどについても質問があり、大いに盛り上がりました。やはり、同じ悩みなどを持つエンジニア同士が気軽に意見交換などできることは、非常に大切だなと思った一時でもあります。

さて、いかがでしたでしょうか？近々また本イベントの第三回目を開催したいなと考えていますので、もしご興味をもった方がいらっしゃれば次回是非ご参加ください！また、Burp Suiteについての情報などをキャッチしたいという方は「Burp Suite Japan User Group」に是非ご参加いただければと思います。

というわけで以上、『とある診断員』からのイベントレポートでした！

＜本ページに関するサービスの詳細＞
https://www.mbsd.jp/solutions/assessment/

洲崎俊の他のブログ記事を読む