はじめに

BurpSuite, ZAP, Fiddler は、SSL の通信を解読しながら転送するプロキシツールで、デバグ/セキュリティ診断で使われている

トラップ(通信を一旦停止して、デスクトップ上に編集可能な状態で表示する)の設定について

BurpSuiteの場合

このあたりで、どのようなリクエスト(拡張子が画像とかは無視とか、特定のWebサイトだけトラップするようにする(Scopeの設定)とか)

BurpSuiteの場合は「Intercept」という。これが「On」でトラップ。「Off」でスルー。

トラップした通信は「Forward」で転送される

ZAPの場合

ZAPの場合は「ブレークポイント」という。
これでトラップできる状態にしたりスルーする状態にしたりする。

こちらの再生ボタンで、転送される。

Parosの場合

Parosの場合「トラップ」という。
トラップするかどうかの設定をして、トラップしたデータを転送(「Continue」)するボタン。
そんな感じ

Fiddlerの場合

Fiddlerの場合は「ブレークポイント」という。
「Before Requests」つまり、リクエストを転送する前にブレークポイントを設定すれば、トラップできるようになる。
「After Response」は「レスポンスを受信した後」なので、レスポンスの転送前にトラップできるようになる。

通信のリストをクリックすると、右ペインの上部がリクエスト。下部がレスポンス。
リクエストの「Raw」が馴染みのある感じかな。
「Break on Response」は、このリクエストのレスポンスを急遽トラップ。
「Run to Completion」は、このまま通信を完成させる。

Index

Indexへ戻る

以上