$30 off During Our Annual Pro Sale. View Details »

プロキシーツールとかを使うときの小技

 プロキシーツールとかを使うときの小技

hasegawayosuke

July 05, 2018
Tweet

More Decks by hasegawayosuke

Other Decks in Technology

Transcript

  1. プロキシーツールとかを
    使うときの小技
    (株)セキュアスカイ・テクノロジー
    取締役CTO 長谷川陽介
    Burp Suite Japan Users Group Tech Meeting
    2018-07-05

    View Slide

  2. 長谷川陽介 (はせがわようすけ / @hasegawayosuke)
     (株)セキュアスカイ・テクノロジー 取締役CTO
     千葉大学 非常勤講師
     OWASP Kansai チャプターリーダー
     OWASP Japan ボードメンバー
     CODE BLUEカンファレンス レビューボードメンバー
    Internet Explorer、Mozilla FirefoxをはじめWebアプリ
    ケーションに関する多数の脆弱性を発見。
    Black Hat Japan 2008、韓国POC 2008、2010、
    OWASP AppSec APAC 2014他講演や記事執筆も多数。
    http://utf-8.jp/

    View Slide

  3. Secure Sky Technology Inc. 2018-07-05
    Chromeでさくっとプロキシー指定
    システムデフォルトのプロキシー設定を利用せず、常に指
    定されたプロキシーを利用する
    Burpなどを通すときに便利。
    chrome.exe --proxy-server="http://127.0.0.1:8080"

    View Slide

  4. Secure Sky Technology Inc. 2018-07-05
    Chromeでシステムプロキシー無視
    システムデフォルトのプロキシー設定を利用せず、常に直
    接接続
    chrome.exe --no-proxy-server

    View Slide

  5. Secure Sky Technology Inc. 2018-07-05
    Chromeで/etc/hosts的な名前指定
    hostsファイルを自前で用意する必要がなくなる。
    CNAME的に名前でも指定可能
    ワイルドカードや除外指定も可能
    あくまでもブラウザーの名前解決だけの話なので、Burp等を利
    用する場合はBurpは本来の名前解決を試みようとするため使い
    方に注意すること。
    chrome.exe --host-rules="MAP example.jp 192.168.1.1"
    chrome.exe --host-rules="MAP example.jp www.google.com"
    chrome.exe --host-rules="MAP * example.jp EXCLUED www.google.com"

    View Slide

  6. Secure Sky Technology Inc. 2018-07-05
    Chromeでmhtml形式で保存
    名前を付けて保存時にmhtml形式で保存できる
    chrome.exe --save-page-as-mhtml

    View Slide

  7. Secure Sky Technology Inc. 2018-07-05
    Chromeその他のコマンドラインオプション
    いろいろ気になるものがある(試せてない)
    proxy-bypass-list
    proxy-pac-url
    cipher-suite-blacklist
    ssl-version-min, ssl-version-max
    user-agent
    disable-*, enable-*
    ソースコード
    https://src.chromium.org/viewvc/chrome/trunk/src/chro
    me/common/chrome_switches.cc?view=markup

    View Slide

  8. Secure Sky Technology Inc. 2018-07-05
    Firefoxで任意リクエスト発行
    FiddlerのComposerみたいに任意リクエストを発行可能

    View Slide

  9. Secure Sky Technology Inc. 2018-07-05
    JSON Beautifier on Firefox
    FirefoxでJSONを開くとふつうに成形してくれる

    View Slide

  10. Secure Sky Technology Inc. 2018-07-05
    Fiddlerを使いたいときだけ使いたい!!!
    proxy.pacをFiddlerのAutoResponderを使って返す
    Fiddlerを立ち上げてる
    ときだけ通信がFiddler
    経由になる
    proxy.pacで特定ホスト
    への通信だけFiddlerを
    通るように指定する

    View Slide

  11. Secure Sky Technology Inc. 2018-07-05
    質問?
    [email protected]
    @hasegawayosuke
    http://utf-8.jp/

    View Slide