$30 off During Our Annual Pro Sale. View Details »

プロキシーツールとかを使うときの小技

hasegawayosuke
July 05, 2018
Technology
11
2.9k

 プロキシーツールとかを使うときの小技

hasegawayosuke

July 05, 2018
Tweet

More Decks by hasegawayosuke

See All by hasegawayosuke
これからのフロントエンドセキュリティ
hasegawayosuke
36
13k
SSRF基礎
hasegawayosuke
25
13k
Node.jsセキュリティ
hasegawayosuke
14
5k
脆弱性診断を通じて見えてくるWebセキュリティ
hasegawayosuke
12
4.5k
All Your REJECT Are Belong To Us - リジェクトする側から -
hasegawayosuke
4
2.4k
あなたのWebアプリケーション OWASP TOP 10に対応できていますか?
hasegawayosuke
0
250
WebアプリをOWASP TOP 10に対応させよう / #shibuyaxss techtalk #10
hasegawayosuke
8
2.6k

Other Decks in Technology

See All in Technology
Garoon 開発チーム / Garoon development team
cybozuinsideout
PRO
0
2.3k
本当にわかりやすいAI入門
segavvy
34
12k
DMMオンラインサロン エンジニア採用資料/ for-software-engineers
onlinesalon
0
3.6k
Japan.R2023_いろんな可視化ツールあるけどggplotて何がいいの?- 複数ツールで比較してみた!-
wakamatsu_takumu
1
640
コンテナ支部recapをrecapしよう_気になったコンテナの周りのアップデートを紹介.pdf
yoshiitaka
0
290
AWS re:Invent 2023 わざわざ現地まで行く意味あるの?→ありました
minorun365
PRO
5
1k
AWS Security Hubを有効化したけど見てない人に向けたDevSecOpsの実現方法 / #kayac_andpad_event
muziyoshiz
0
220
技術広報経験0のEMがエンジニアブランディングをはじめてみた
coconala_engineer
1
150
device mapperによるディスクI/O障害のエミュレーション
sat
PRO
7
2.3k
AWSに関わる全ての エンジニアへの変革!
ysasago
2
140
18行のLinuxカーネルモジュールを 作ってみる
sat
PRO
1
110
AIをWebアプリに実装するための便利なPythonライブラリ
s2terminal
0
120

Featured

See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
15
1.7k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.4k
How to Ace a Technical Interview
jacobian
272
22k
The Language of Interfaces
destraynor
149
22k
Clear Off the Table
cherdarchuk
81
300k
Three Pipe Problems
jasonvnalue
89
9.3k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
5
750
Web Components: a chance to create the future
zenorocha
304
41k
Debugging Ruby Performance
tmm1
68
11k
Rails Girls Zürich Keynote
gr2m
90
12k
Scaling GitHub
holman
455
140k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
16k

Transcript

  1. プロキシーツールとかを
    使うときの小技
    (株)セキュアスカイ・テクノロジー
    取締役CTO 長谷川陽介
    Burp Suite Japan Users Group Tech Meeting
    2018-07-05

    View Slide

  2. 長谷川陽介 (はせがわようすけ / @hasegawayosuke)
     (株)セキュアスカイ・テクノロジー 取締役CTO
     千葉大学 非常勤講師
     OWASP Kansai チャプターリーダー
     OWASP Japan ボードメンバー
     CODE BLUEカンファレンス レビューボードメンバー
    Internet Explorer、Mozilla FirefoxをはじめWebアプリ
    ケーションに関する多数の脆弱性を発見。
    Black Hat Japan 2008、韓国POC 2008、2010、
    OWASP AppSec APAC 2014他講演や記事執筆も多数。
    http://utf-8.jp/

    View Slide

  3. Secure Sky Technology Inc. 2018-07-05
    Chromeでさくっとプロキシー指定
    システムデフォルトのプロキシー設定を利用せず、常に指
    定されたプロキシーを利用する
    Burpなどを通すときに便利。
    chrome.exe --proxy-server="http://127.0.0.1:8080"

    View Slide

  4. Secure Sky Technology Inc. 2018-07-05
    Chromeでシステムプロキシー無視
    システムデフォルトのプロキシー設定を利用せず、常に直
    接接続
    chrome.exe --no-proxy-server

    View Slide

  5. Secure Sky Technology Inc. 2018-07-05
    Chromeで/etc/hosts的な名前指定
    hostsファイルを自前で用意する必要がなくなる。
    CNAME的に名前でも指定可能
    ワイルドカードや除外指定も可能
    あくまでもブラウザーの名前解決だけの話なので、Burp等を利
    用する場合はBurpは本来の名前解決を試みようとするため使い
    方に注意すること。
    chrome.exe --host-rules="MAP example.jp 192.168.1.1"
    chrome.exe --host-rules="MAP example.jp www.google.com"
    chrome.exe --host-rules="MAP * example.jp EXCLUED www.google.com"

    View Slide

  6. Secure Sky Technology Inc. 2018-07-05
    Chromeでmhtml形式で保存
    名前を付けて保存時にmhtml形式で保存できる
    chrome.exe --save-page-as-mhtml

    View Slide

  7. Secure Sky Technology Inc. 2018-07-05
    Chromeその他のコマンドラインオプション
    いろいろ気になるものがある(試せてない)
    proxy-bypass-list
    proxy-pac-url
    cipher-suite-blacklist
    ssl-version-min, ssl-version-max
    user-agent
    disable-*, enable-*
    ソースコード
    https://src.chromium.org/viewvc/chrome/trunk/src/chro
    me/common/chrome_switches.cc?view=markup

    View Slide

  8. Secure Sky Technology Inc. 2018-07-05
    Firefoxで任意リクエスト発行
    FiddlerのComposerみたいに任意リクエストを発行可能

    View Slide

  9. Secure Sky Technology Inc. 2018-07-05
    JSON Beautifier on Firefox
    FirefoxでJSONを開くとふつうに成形してくれる

    View Slide

  10. Secure Sky Technology Inc. 2018-07-05
    Fiddlerを使いたいときだけ使いたい!!!
    proxy.pacをFiddlerのAutoResponderを使って返す
    Fiddlerを立ち上げてる
    ときだけ通信がFiddler
    経由になる
    proxy.pacで特定ホスト
    への通信だけFiddlerを
    通るように指定する

    View Slide

  11. Secure Sky Technology Inc. 2018-07-05
    質問?
    [email protected]
    @hasegawayosuke
    http://utf-8.jp/

    View Slide