2020-02-18

パスワードは暗号化ではなくハッシュ化！！

セキュリティ

とある開発現場で、パスワードが暗号化されてDBに保持されていた事を思い出しました。

パスワードは暗号化ではダメだったはず・・・
という事で調べてみました。

暗号化とは

データを暗号化のアルゴリズム（RSA・DES・AES等）に従って、一見解読不能な内容を求めます。
このデータは用意しておいた暗号鍵を用いて、復号する事が出来ます。

ハッシュ化とは

データをハッシュアルゴリズム（md5・sha1・sha-256等）に従って、ハッシュ値と呼ばれる規則性のない固定長の値を求めます。
このデータは不可逆変換なので、元のデータへ戻すことは現実的ではありません。

結論

もしも暗号化したパスワードを悪意のある第三者に抜き取られた場合、復号されてしまうかもしれません。
そうでなくとも、パスワードは復元する必要がないものなので、余計なリスクは抱えない方が良いでしょう。
ログイン認証等も、ユーザの入力値をハッシュ化したものと照合すれば可能です。

もちろん、平文で保持なんて事は論外です！

2019-02-03

BurpSuiteのExtenderを開発してみる【メソッドの取得】

セキュリティ

BurpSuite Extenderで、
どんな事が出来そうかを探っていきたいと思います。

動作的には
　「GETメソッドの場合は赤く表示する」
　「POSTメソッドの場合は青く表示する」
　「リクエストの場合はメソッドを取得する」
　「レスポンスの場合はステータスコードを取得する」
という感じのものを目指します。

package burp;

import java.io.PrintWriter;

public class BurpExtender implements IBurpExtender, IHttpListener,
        IProxyListener
{
    private IBurpExtenderCallbacks callbacks;
    private IExtensionHelpers helpers;
    private PrintWriter stdout;
    private final String EXTENDER_NAME = "Test Extender";

    //
    // implement IBurpExtender
    //

    @Override
    public void registerExtenderCallbacks(IBurpExtenderCallbacks callbacks)
    {
        this.callbacks = callbacks;
        helpers = callbacks.getHelpers();

        // set our extension name
        callbacks.setExtensionName(EXTENDER_NAME);

        // obtain our output stream
        stdout = new PrintWriter(callbacks.getStdout(), true);

        // register ourselves as an HTTP listener
        callbacks.registerHttpListener(this);

        // register ourselves as a Proxy listener
        callbacks.registerProxyListener(this);

    }

    //
    // implement IHttpListener
    //

    @Override
    public void processHttpMessage(int toolFlag, boolean messageIsRequest, IHttpRequestResponse messageInfo)
    {
    	if(messageIsRequest) {
    		IRequestInfo requestInfo = helpers.analyzeRequest(messageInfo);
            stdout.println("Request Method : " + requestInfo.getMethod());
    	}else {
    		byte[] response = messageInfo.getResponse();
    		IResponseInfo responseInfo= helpers.analyzeResponse(response);
            stdout.println("Response Status : " + responseInfo.getStatusCode());
    	}
    }

    //
    // implement IProxyListener
    //

    @Override
    public void processProxyMessage(boolean messageIsRequest, IInterceptedProxyMessage message)
    {
    	if(messageIsRequest) {
    		IRequestInfo requestInfo = helpers.analyzeRequest(message.getMessageInfo());
    		String method = requestInfo.getMethod();

    		if(method.equals("GET")) {
        		message.getMessageInfo().setHighlight("blue");
    		}else if(method.equals("POST")) {
        		message.getMessageInfo().setHighlight("red");
    		}

            //	red, orange, yellow, green, cyan, blue, pink, magenta, gray

    	}else {

    	}
    }

}

f:id:usagigozen:20190203173926p:plain — GETは青色で、POSTは赤色にする

f:id:usagigozen:20190203174037p:plain — リクエストはメソッド、レスポンスはステータスコードを取得する

期待通りの結果です。

processHttpMessage(int toolFlag, boolean messageIsRequest, IHttpRequestResponse messageInfo);
This method is invoked when an HTTP request is about to be issued, and when an HTTP response has been received.

processProxyMessage(boolean messageIsRequest, IInterceptedProxyMessage message);
This method is invoked when an HTTP message is being processed by the Proxy.

BurpSuiteのエディタに反映させたい場合は、processProxyMessageメソッド内で処理をする必要があるのかな。
使える色は「red, orange, yellow, green, cyan, blue, pink, magenta, gray」の９色っぽいです。

とりあえず以上です。