BurpのIntruderでパスワードを総当たりで調べるときに普通にリストを用意していた
どうもshuu_miyakoです。
今回のテーマを書こうと思ったきっかけは、Burpの開発会社であるPortSwigger社が公開しているWeb Security Academyで勉強中に、パスワードなどを総当たりで調べるとき(ブルートフォース攻撃するとき)はIntruderでBrute forcer使うと便利だよと記載がありました。
※Web Security AcademはBurpの使い方だけでなく、脆弱性診断の勉強もできる物凄いためになるサイトです。私はWSAって勝手に読んでます。
はて、Brute forcerってなんだ?
結論から言うと、Burpに候補の文字と文字数を教えれば、全ての組み合わせを生成して試してくれるIntruderの機能の一つです。
今までBurpでパスワードの総当たりを調べるときは自分で総組み合わせの一覧表を作って、それを読み込ませるという運用をしていました。
サイトによって使える文字数や文字種などバラバラなので、その都度、総組み合わせの一覧表を自分で作る手間が少しだけ煩わしいって思っていました。
ですが、このBrute forcer機能を使えばBurp側で作れるので、他のツールを使ったりウィンドウ切り替えといった本当にちょっとした手間が省けるんです。
そこに心が動きました。なんていうか、「Burp君、優秀!♪」みたいな感じです。
使い方としては、IntruderタブのPayloadsで以下のように設定して「start attack」押下
・Payload Setsの Payload typeを「Brute forcer」に選択
・Payload OptionsのCharacter setに使用する文字(デフォルトではa~z0~9が設定されています)
・Payload OptionsのMin lengthに最小文字数
・Payload OptionsのMax lengthに最多文字数
上記の画像の場合の挙動は、最初に「0000」→「1000」→「2000」・・・→「9000」→「0100」→「1100」→「2100」のように桁の最上位から順に試していくような感じです。
あえて欠点を挙げるとすれば、手元に総組み合わせの一覧表が生成されないので、顧客に提出する必要があるときに改めて作成するという手間がかかるぐらいですかね。
今まで「自分が使用するツールぐらいは社内で一番詳しくなれ」と散々上司に怒られてきましたが、本当にまだまだ勉強不足だなと再実感しました。
他のIntruderの機能についても別の機会に記事にしたいと思います。
では。
国家資格「情報処理安全確保支援士(登録セキスペ)」に登録してみた。
どうもshuu_miyakoです。
今回のテーマはタイトル通りです。
やっと去年の10月にIPAの情報処理安全確保支援士の試験を受けに行くことができ無事合格し、4月1日付で登録まで済ませました。
次の日に「登録証」なるカッコイイ物が届きテンション上がっております。
「情報処理安全確保支援士とは」というのはIPAの公式情報だったり、色々な方がブログに書いていると思われるので、今回はあくまで私の思いをピンポイントで話したいと思います。
- どのくらい勉強した?
ずばり、勉強期間は約1年2ヶ月費やしました。
最初は2019年10月に受験しようと思い2019年8月からテキストなどを買って準備をはじめました。しかし、上司から出張オンサイトでデータセンタ巡りを言い渡されその日程が試験日と重なってしまい、泣く泣く受けに行けなかったのです(試験料は払った状態)。
そして2020年4月は今度こそと思っていたところ、試験自体が中止。
結果的に2020年10月に初受験となりました。
1年2ヶ月の間ずっと同じペースで勉強していた訳ではありませんが、まぁ自分の業務にあまり関わりが少ない箇所(法務系とか)は読書感覚で定期的にテキスト読んでおりました。
長文読解&記述の設問の対策としては過去問は解きましたが、テーマを普段の自分の業務でやっている領域(マルウェア&FW・脆弱性診断)に選択する作戦だったので、特に改めて勉強したという訳ではありませんでした。当たり前かもしれませんが、点を取る秘訣は回答しやすい問題を選択することだと思います。
- 20代にとってのこの資格
合格率 2割以下
平均合格者の年齢 30代半ば
登録セキスペ割合 6.2%(20代)
登録セキスペ平均年齢 40代前半
上記が公式サイトで公表されているデータです。
つまり、20代で「情報処理安全確保支援士(登録セキスペ)」の資格を保有しているのは間違いなく付加価値だと思います。
資格がないと業務自体ができないタイプの資格ではないため、資格保有=仕事ができる=優秀という関係式は必ず成り立ちませんが持っていて無駄にはなるものではない認識です。
資格を持っていない先輩に「資格持っていることと、仕事で有能は違うから」なんて言われても無視して大丈夫です。単なる負け惜しみです。
- 難易度
IPAではレベル4相当としています。
ただ個人的な実感としては、レベル4のうち2が実際の試験の難易度かなと思います。
普段の業務でお客さんと話す機械が少ない方は少し午後の記述問題は苦戦している印象です。
私はちょくちょく脆弱性診断の開始前ヒアリングや結果報告会に参加しているので、お客さんと話す要点で記述ができたのでラッキーでした。
で残りのレベル2分はというと、「準備期間の気力」と「当日試験に行く気力」かなと。(精神論ですみません)
試験概要を把握して、申し込んで、テキストや過去問買ってきて、実際に勉強を続ける。頭でわかっていても気持ちが続かないですよね。多くの人は実際にここを超えられないかなと思います。特に試験に合格するのが目的の人は。
結果、試験に申し込んでいても「当日試験に行く気力」が出てこなくなってしまいます。実際にIPA公表のデータでも3割弱は欠席で受験率は6割強となっています。
- 転職での「情報処理安全確保支援士(登録セキスペ)」について
資格を保有しているという点でプラス査定となることは以下の二つがメインだと個人的には思います。
・真面目さ(目標に向かって事を進められる能力は平均的にある)
・技術や業界に対する好奇心
残念なことは、仕事で使える技術力がある証明の「決定打」にはならないことですかね。
ただ前述していますが、20代で保有しているかつ転職市場に出ているとなると数が少ないので引きは多くなると思いますので、合格を目指している方は是非頑張ってください。
ところで、私も転職者の面接に参加するようになって「まだ受かっていないけど、勉強はしています!」という履歴書を多くみます。
また転職エージェントとして働いている友人によると、エージェントの方からアピール目的で記載するように指導しているそうです。
正直なところ「合格(保有)していないなら書くなよ。どうせ転職活動終わったら最後まで勉強続けないだろ」って思っている面接官の方が多いと思います。
私はあまり思いませんが、要職についているけど資格はあまり持っていないタイプの方はそう穿った見方をする可能性があります。
また万が一私のように「勉強の動機は?」「勉強してみてどうですか」「どこの分野が得意・苦手ありますか」など好奇心旺盛な面接官にあたるとボロが出てしまうので気をつけてください。
ここまで長々と書きましたが、IPAの資格はしっかりと体系立てられていて、本当に勉強していても楽しく身になるのでオススメです。
あと5,700円で自分の実力を測れるのもコストパフォーマンスが高いです。
是非頑張ってください。
element.innnerHTMLのscriptタグの処理とXSS
どうもshuu_miyakoです。
最近徳丸本を見返していた時に、dom型XSSのページに当時書いたこんなメモを見つけました。
「なんでimg要素でXSS発生するのに、script要素だと発生しないの?」
徳丸本の中ではinnerHTMLによるDOM Based XSSの章ではフラグメントに挿入するコードとしてimg要素でonnerrorでaler文を発生させるものを例にあげています。
実際にscript要素使用した場合は発生しなかったので、自分は上記のようなメモを残したのでしょう。
ではなぜinnerHTMLにscript要素を挿入してもalert文が発生しないかと言うと、仕様上そうなっているからです。
なんとなく納得しづらいかと思いますが、そういうものらしいです。
このことは実は徳丸本でも該当箇所の2ページ後にも記載があります。
自分は3分ぐらい納得できませんでしたので、公式ドキュメントとかないかなと探してみました。
そうしたら普通にありました。
①MDN web Docs
※画像中盤の赤枠内
②W3CWorkingDrafit
※画像下部の赤枠
そんな感じでDom型XSSの検査でscript要素を挿入してもJavaScriptは実行できない時があるよというお話でした。
では、また。