Upgrade to Pro — share decks privately, control downloads, hide ads and more …

プロキシーツールとかを使うときの小技

hasegawayosuke
July 05, 2018
Technology
11
2.8k

 プロキシーツールとかを使うときの小技

hasegawayosuke

July 05, 2018
Tweet

More Decks by hasegawayosuke

See All by hasegawayosuke
これからのフロントエンドセキュリティ
hasegawayosuke
36
13k
SSRF基礎
hasegawayosuke
24
12k
Node.jsセキュリティ
hasegawayosuke
14
4.8k
脆弱性診断を通じて見えてくるWebセキュリティ
hasegawayosuke
12
4.3k
All Your REJECT Are Belong To Us - リジェクトする側から -
hasegawayosuke
4
2.3k
あなたのWebアプリケーション OWASP TOP 10に対応できていますか?
hasegawayosuke
0
220
WebアプリをOWASP TOP 10に対応させよう / #shibuyaxss techtalk #10
hasegawayosuke
8
2.4k

Other Decks in Technology

See All in Technology
世界一位の精度を獲得した意味に基づく映像検索技術
sbtechnight
PRO
0
290
5分でまとめるAWSマイグレーション / 5minutes aws migration
se_o_chan
1
170
[k8sjp #56] Kustomize v5 を含む最新機能とテクニックの紹介
koba1t
0
320
JAWS-UG 朝会 #43 登壇資料
takakuni
0
400
位置情報ビッグデータの可視化技術の紹介と実社会での活用
sbtechnight
PRO
0
320
アプリケーション開発をさらに加速させるフレームワークとCI/CD技術
sbtechnight
PRO
0
330
QAでE2Eテストを普及させるには?
freee
0
100
Finally_I_can_kichijojipm32
kaznishi
0
140
BIMIとメールセキュリティ
sbtechnight
PRO
0
350
S3からBigQueryへ閉域ネットワーク経由でデータ転送する方法
sbtechnight
PRO
0
320
6G/テラヘルツの取り組み
sbtechnight
PRO
0
400
可読性を高めるためのコードレビューテクニック
sbtechnight
PRO
0
400

Featured

See All Featured
How to train your dragon (web standard)
notwaldorf
66
4.3k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
The Web Native Designer (August 2011)
paulrobertlloyd
77
2.3k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
270
12k
A Philosophy of Restraint
colly
193
15k
Building an army of robots
kneath
300
41k
Optimizing for Happiness
mojombo
366
65k
The World Runs on Bad Software
bkeepers
PRO
59
5.8k
VelocityConf: Rendering Performance Case Studies
addyosmani
317
22k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
How to name files
jennybc
48
76k
The Pragmatic Product Professional
lauravandoore
21
3.6k

Transcript

  1. プロキシーツールとかを
    使うときの小技
    (株)セキュアスカイ・テクノロジー
    取締役CTO 長谷川陽介
    Burp Suite Japan Users Group Tech Meeting
    2018-07-05

    View Slide

  2. 長谷川陽介 (はせがわようすけ / @hasegawayosuke)
     (株)セキュアスカイ・テクノロジー 取締役CTO
     千葉大学 非常勤講師
     OWASP Kansai チャプターリーダー
     OWASP Japan ボードメンバー
     CODE BLUEカンファレンス レビューボードメンバー
    Internet Explorer、Mozilla FirefoxをはじめWebアプリ
    ケーションに関する多数の脆弱性を発見。
    Black Hat Japan 2008、韓国POC 2008、2010、
    OWASP AppSec APAC 2014他講演や記事執筆も多数。
    http://utf-8.jp/

    View Slide

  3. Secure Sky Technology Inc. 2018-07-05
    Chromeでさくっとプロキシー指定
    システムデフォルトのプロキシー設定を利用せず、常に指
    定されたプロキシーを利用する
    Burpなどを通すときに便利。
    chrome.exe --proxy-server="http://127.0.0.1:8080"

    View Slide

  4. Secure Sky Technology Inc. 2018-07-05
    Chromeでシステムプロキシー無視
    システムデフォルトのプロキシー設定を利用せず、常に直
    接接続
    chrome.exe --no-proxy-server

    View Slide

  5. Secure Sky Technology Inc. 2018-07-05
    Chromeで/etc/hosts的な名前指定
    hostsファイルを自前で用意する必要がなくなる。
    CNAME的に名前でも指定可能
    ワイルドカードや除外指定も可能
    あくまでもブラウザーの名前解決だけの話なので、Burp等を利
    用する場合はBurpは本来の名前解決を試みようとするため使い
    方に注意すること。
    chrome.exe --host-rules="MAP example.jp 192.168.1.1"
    chrome.exe --host-rules="MAP example.jp www.google.com"
    chrome.exe --host-rules="MAP * example.jp EXCLUED www.google.com"

    View Slide

  6. Secure Sky Technology Inc. 2018-07-05
    Chromeでmhtml形式で保存
    名前を付けて保存時にmhtml形式で保存できる
    chrome.exe --save-page-as-mhtml

    View Slide

  7. Secure Sky Technology Inc. 2018-07-05
    Chromeその他のコマンドラインオプション
    いろいろ気になるものがある(試せてない)
    proxy-bypass-list
    proxy-pac-url
    cipher-suite-blacklist
    ssl-version-min, ssl-version-max
    user-agent
    disable-*, enable-*
    ソースコード
    https://src.chromium.org/viewvc/chrome/trunk/src/chro
    me/common/chrome_switches.cc?view=markup

    View Slide

  8. Secure Sky Technology Inc. 2018-07-05
    Firefoxで任意リクエスト発行
    FiddlerのComposerみたいに任意リクエストを発行可能

    View Slide

  9. Secure Sky Technology Inc. 2018-07-05
    JSON Beautifier on Firefox
    FirefoxでJSONを開くとふつうに成形してくれる

    View Slide

  10. Secure Sky Technology Inc. 2018-07-05
    Fiddlerを使いたいときだけ使いたい!!!
    proxy.pacをFiddlerのAutoResponderを使って返す
    Fiddlerを立ち上げてる
    ときだけ通信がFiddler
    経由になる
    proxy.pacで特定ホスト
    への通信だけFiddlerを
    通るように指定する

    View Slide

  11. Secure Sky Technology Inc. 2018-07-05
    質問?
    [email protected]
    @hasegawayosuke
    http://utf-8.jp/

    View Slide