*白百合めも*

セキュリティ中心に毎日の勉強の記録を書くよ*

BurpSuiteで脆弱性診断体験してきた@サイボウズ

みなさんこんにちは!
10/7にサイボウズオフィスにて、BurpSuiteを用いて脆弱性診断をしてみよう!というイベントに参加してきました。

pentest-web.connpass.com

勉強会の参加レポ、第一弾です🌷
ただ、実際にどういうことを教えていただいたか・全体の概略等は

脆弱性診断 初心者ハンズオントレーニング に参加した - 僻地の大学院生の雑記帳
こちらのブログでとても分かりやすく書いてあったので(こんな綺麗でスッと頭に入ってくる文章書けるようになりたい)、
白百合めもでは、会場の雰囲気とか私の感情面(?)のこととかをゆるく書いていこうと思います〜


参加したきっかけ

参加したきっかけは、徳丸さんのツイート↓

これを見て、
「あの徳丸さんが推すイベントで、しかもずっと気になっていたBurpSuite!?えっ初心者向け!?参加するしかないじゃん!」
と一人で盛り上がり瞬時で参加を決意しました🍰

私は普段はインフラ系セキュリティ担当なのですが、同じ部で脆弱性診断をやっている方々がよくBurpの名前を出していたので自分の中での注目度が最大限に高まっていたのです👀


参加が先着順だったので、参加開始時間前にconnpassで待機し時間になったらすぐ更新 →参加申し込み!
その結果、なんと2番目で登録されましたw
f:id:white-lily6u6:20171009092413p:plain:w400
その後何度か更新して様子を観察していたのですが、みるみるうちに参加枠が埋まっていって、 「すごいイベントに申し込んでしまった...!」と一人でワクワクしたりなどしていました🌺

当日

あっという間に当日がきてしまいました。
楽しみにしすぎて2日前くらいに体調ダウンするというお子さまっぷりを発揮しましたが、病院に行って速攻で治し、万全の体調で挑むことに成功!
高級感溢れるビルの中を進んでいくと...

f:id:white-lily6u6:20171009101431j:plain:w400 f:id:white-lily6u6:20171009101452j:plain:w400
なに...!?なにこのめちゃめちゃ可愛い空間!!!
サイボウズでは出勤時も退勤時もこの可愛いぬいぐるみ達が迎えてくれるの!?最高か...

f:id:white-lily6u6:20171009101511j:plain:w300
↑ボウズマンという、ヒロアカのオールマイト的な雰囲気の殿方に手を差し伸べられてときめいたりした

🍬入場🍬

コミュ障なのでドキドキしながら会場に向かったのですが、
受付の人たちが笑顔で迎えてくれて一気に緊張がほぐれました*
connpassから登録した場合の受付方法がよく分かっていなかったのに優しく対応してくれて、感謝感激でした(;;)


そして、いざ入場!
入ってすぐこう思いました。
「あ、結構女性の方多い...!!!」
最近行ってたセキュリティ系のイベントは総じて女性が多くて、
もちろん分野・内容にもよるのでしょうが、セキュリティって割と女性に人気なんだな!という印象。
大学の頃入ってたロボットサークルで行ったイベントとかほとんど女性いなかった笑

席に着くとお水が支給されていて、5分に1回は水飲まないといられない自分にとってはとってもありがたかったです❤️

🍬講義開始🍬

冒頭で申し上げたように詳しい内容は他の方の素晴らしい記事を見ていただくとして、
ここでは箇条書きで印象に残ったことを書いていこうと思います🌸


  • 座学講義がとっても分かりやすい

    今回はBurp以外にも、HTTP基礎や脆弱性やアクセス制御の話が座学講義としてあったのですが、これが、ものすごく分かりやすい!!!!

    特に、Cookieとセッション管理の部分の話が印象に残りました。
    前日にちょうどその辺りについて調べたりしていたのですが、
    その時間はなんだったのか?と思えるほどの分かりやすさ✨
    後は、アクセス制御で、認可の大事さを再認識したり。

    どのお話も、人より理解能力が低い私でもスッと入ってきて感動しました。
    図がふんだんに使われていていたのと、お話慣れているからなんでしょうか。憧れます。



  • ハンズオンでのアクシデント

    BurpSuiteのハンズオンでは、とにかくついていくことを目標にしてやっていました!

    アナウンス「環境はFireFoxが推奨なのですが〜、」
    白百合「よし、落とそう」

    と、一瞬でchromeから浮気する出来事もありました笑
    Fire Foxでブラウザでプロキシの設定ができるんですね。初めて知りました...!


    そして、そのプロキシ設定のところで、最初で最後のアクシデントが起こる・・・


    プロキシ設定ちゃんとやっている(はずだった)のにBurpでリクエスト内容が取れなくて運営の方に見てもらっていたのですが、
    見てみると、プロキシの設定で「172.0.0.1」って書いてあったんです😂
    運営の方は「あるあるですよ!」って言ってくれて、なんて優しい方なんだと思いました笑
    (テンパってプロキシなし接続のところで消したlocalhostをまた書いたりとか変なことばかりしてたので 10年後くらいの笑い話にしたい)

    この後は運営の方々の説明がとても分かりやすかったのと、
    皆がちゃんとできているかを確認しながら進んでくれたので、特に問題なく楽しめました!
    すごく和やかなムードで、なんでも聞いてください!というスタンスだったので安心して質問できました。


  • Hello world的な喜び

    XSSチェックとして、Burpでリクエスト内容を書き換えてjavascriptを動作させることに。

    f:id:white-lily6u6:20171009121146p:plain:w400
    でた・・・!!!アラートが出たよ!!!
    アラート出ただけなのにすごく嬉しい。
    これはあれだ・・・新しい言語を始める時に必ず行う、「Hello world!」を出力した時のような嬉しさ!!
    この時の感情を忘れないようにしたいものですね🌸


この他にも思ったことは色々とあったのですがいつのまにか記事が長くなってきたので割愛しますw

そして、懇親会へ


その後、運営スタッフさん方+希望者で懇親会へ!
北海道出身なので、北海道的なお料理屋さんでとても嬉しかったです🐻

懇親会で感じたこ

  • セキュリティの世界(人間関係的な意味)は狭い
    共通の知り合いがいたりとか、話したことなかったけど実はお互いのこと認識していたとかそういうことが多々あって、コミュニティが密だなぁと思いました!(日本語あってる?;)

  • ツイッターは役立つ
    日頃からツイッターで流れてくるセキュリティ関連情報を見ておくと、
    こういった場で話に加わることができる
    (「あ、この話、ツイッターで見たやつだ!」)

  • セキュリティ業界の人たちは皆優しい
    私がセキュリティの興味を持って日が浅いために分からないことも多かったのですが、「...?」的な顔をしていると皆優しく教えてくれました😭
    セキュリティの仕事は人と話すことが多いからなのでしょうか?
    素敵な方ばかりでみなさん本当に憧れました🌻
    お話ししていただいてありがとうございましたo(^-^)o



感想


なんだか長く書きすぎてしまいました💦
それだけ楽しかったんです><

Burpの基本的な使い方をSQLインジェクションXSSチェックを通して知ることができて嬉しかったです。
今回ハンズオンではやらなかった部分も、 Pentester Skillmap Project JP - OWASPの、 GitHub - ueno1000/WebAppPentestGuidelines: Webアプリケーション脆弱性診断ガイドラインを参考にして脆弱性診断やってみようと思います。

手動で脆弱性診断をやってみることで、ちゃんと理解ができましたし、自動化のありがたさも理解できましたw

無償でこんなに素晴らしい勉強会を開いていただき本当にありがとうございました!