これはシーエー・アドバンス Advent Calendar 2021 18日目の記事です。
17日目の記事は @fukushi_yoshikazu さんの エンジニアが詐欺サイトに引っかかるまで でした。
明日の記事は @arakawa_moriyuki さんです。
こんにちは!
シーエー・アドバンス(CAAD)技術統括本部セキュリティチームの @inahuku_shingo です。
昨日の @fukushi_yoshikazu さんの記事は、誰もがうっかり引っかかってしまいそうな出来事を注意喚起させてくれるいい記事でしたね!
まだ読んでいない方はぜひ読んでみてください!
目がつらい…
さっそくですが、みなさん脆弱性診断でつらいことはなにかご存知ですか?
それは目の疲れです。
今回はそれをちょっと軽減できる(かもしれない)Tipsをご紹介します。
脆弱性診断を開始してまずやることの一つは、BurpSuiteというツールを使って診断対象の通信(リクエストとレスポンス)を拾っていく作業です。
BurpSuiteの履歴画面
BurpSuiteに通信が流れてくるように適切に設定すると、ツールの履歴画面に大量のログが表示されます。
脆弱性診断では、そこから診断対象となるURLを探し出す必要があります。
例えば、Qiitaにログインしていない状態でトップ画面にアクセスすると、これくらいのログが履歴画面に表示されます。
 |
|---|
備え付けのフィルター機能を使えば、確認したいドメインや特定の文字列で絞り込むことはできますが、サイトにアクセスしたときの通信全体の流れを把握することが難しくなります。
そのため、フィルターをかけずに確認することになるのですが、ログをずっと追っていくと目がどんどん疲れていきます…。
そこで、BurpSuiteの拡張機能「Request Highlighter」を使います!
https://portswigger.net/bappstore/11729a617d8d4d3b87c82e34b71885c3
これは、設定した文字列が含まれるリクエストを自動で色付けしてくれるため、ひと目で把握しやすくなります。
例えば、先程の画面で設定するとこうなります。
 |
|---|
色がついてわかりやすい!しかも自動で付けてくれます!
トップ画面にアクセスしたあと、どういう通信が発生しているかとてもわかりやすいですね。
BurpSuiteを使っていて、ログを追うために目を酷使している方は使ってみてはいかがでしょうか…!
他の効能
この拡張機能を設定しておくと、
・診断対象のURLの見落としを防ぐ
・対象外URLを間違えて診断してしまうことを防ぐ
・複数ドメインをまたぐ処理の流れを把握しやすい
といった効能もあるのでオススメです!
それでは、ハッピーな脆弱性診断ライフを