環境構築手順_20240921

2024/9/21ハンズオン 事前準備の⼿順

Burpのインストール① 下記のURLにアクセス後、 「Go straight to downloads」を クリックします。 https://portswigger.net/burp/communitydownload 2

• https://portswigger.net/burp/communitydownload

Burpのインストール② 「Download」をクリックします。 ダウンロード後、インストーラを 実⾏します。 インストール後、Burp Suiteを起 動します。 3

Burpのセットアップ① Community版の場合、Projectの 作成が⾏えないため、起動毎に セットアップが必要です。 Burpの起動後、「Next」をクリッ クします。 4

Burpのセットアップ② 「Choose file..」をクリックし、 配布の「20240921.json」を選択 します。 その後、「Start Burp」をクリッ クします。 ※「20240921.json」は以下の 「burp-setting」内に配置して います。 https://github.com/att4tt/BadT hread 5

• https://github.com/att4tt/BadT

Burpのセットアップ③ 「Live passive~」を無効にします。 6

Burpのセットアップ④ 「Proxy」タブを選択後、 「Intercept on」をクリックし、 「Intercept off」に変更（無効 化）します。 7

Burpのセットアップ⑤ 「Open browser」をクリックしま す。 8

Burpのセットアップ⑥ 起動したChromium上より、 「http://127.0.0.1」へアクセス します。 ※事前に、配布したハンズオン⽤ のWebアプリ「Bad Thread」を起 動しておく必要があります。 9

Burpのセットアップ⑦ ハンズオン⽤のWebアプリが表⽰ されることを確認します。 10

Burpのセットアップ⑧ Burpの「Proxy」タブ内の「HTTP history」タブを選択します。 ハンズオンアプリへのHTTPリクエ ストのログが表⽰されることを確 認します。 以上でBurpのセットアップは完了 です。 11

Burpの基本操作① ハンズオンの中では、主に「Repe ater」の機能を使⽤します。 これはBurp上から、任意のリクエ ストを送信（再送）を⾏うことが できる機能です。 ⼀例として、Burpの「Proxy」タ ブ内の「HTTP history」タブに表 ⽰されたHostが「http://127.0.0. 1」のログを選択します。 ※ハンズオン環境以外にリクエストを⾶ばさないために、 必ずHostが「http://127.0.0.1（:8888）」のログを選択してください 12

Burpの基本操作② 表⽰されたリクエストの⾚枠内で 右クリック→「Send to Repeate r」をクリックします。 13

Burpの基本操作③ 「Send」をクリックすることで、 対象のリクエストをBurp上から直 接送信（再送）することが可能で す。 Repeaterから送信するリクエスト は、必ずハンズオン環境（127.0. 0.1）のリクエストのみとしてくだ さい。 14

Burpの基本操作④ 「GraphQL」タブをクリックする ことで、リクエスト内のクエリの 内容を確認・編集することが可能 です。 15

GraphQL Voyagerの導⼊ スキーマ情報の可視化に使⽤するツールです。 ローカルで実⾏する場合は、以下より導⼊してください。 • https://github.com/graphql-kit/graphql-voyager clone後のコマンド例（「 npm install」「npm run」は初回のみ実⾏） $ npm install && npm run build:release $ npm start 「https:127.0.0.1:9090」へアクセス 以下より、オンラインのデモ版も利⽤可能です。 • https://graphql-kit.com/graphql-voyager/ 16

• https://github.com/graphql-kit/graphql-voyager
• https://graphql-kit.com/graphql-voyager/