Profile(プロフィール)

とある診断員

Proxy三銃士

With

前回までのあらすじ Proxy三銃士による各Proxyのアピール合戦を開催！ そして最後に会場の皆さんに、一番使いたいと思うProxyを選んでいただきました。

Fiddler

BurpSuite

OWASP ZAP

Fiddler http://www.telerik.com/fiddler/web-debugging

Burp Suite http://portswigger.net/burp/

OWASP Zed Attack Proxy Project https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project ※ベンダのロゴは上記サイトから引用。

各Proxyの比較-概要-

Fiddler Burp Suite OWASP ZAP

概要

シンプルな作りの、Web開発者向けのデバッグ用ツール

脆弱性診断を実施するための様々な機能が搭載されている

脆弱性診断用のツールだが、どちらかといえば自動診断に特化

想定ユーザ

開発者 脆弱性診断員 脆弱性診断員 システム管理者

各Proxyの比較-アピールポイントまとめ-

Fiddler Burp Suite OWASP ZAP

Usability

初心者に優しい利便性 • シンプルなUI • インストール設定が易しい • 日本語の資料が沢山

細かい所まで手が届く！ • 細かいショートカットキー設定 • 正規表現を利用した検索

非常にとっつき易いUI！ • 日本語対応 • ワンタッチで操作が可能な

アイコン表示や便利な機能

Features

作業効率を上げる様々な機能が！ • Logging (ログ管理) • Filters (各種フィルタ) • AutoResponder

脆弱性診断に特化した便利な機能が一杯！ • Intruder • Repeater • Macro • Session Handling Rules

OSSであること、そしてスキャナ機能が魅力的！ • 無償で動的スキャンが可能 • データはDB管理（HSQL）

Special

<魔>改造が可能な拡張機能！ • Script Extension (スクリプト

拡張) • Extension Architecture(拡

張アーキテクチャ)

「extender」による機能拡張が可能！ • 「BApp Store」より拡張モ

ジュールをインストールも

様々な言語でのスクリプト処理が可能！ 数多くのコミュニティが存在 • 日本語コミュニティもできた

よ！

Winner is …

Congratulations!

OWASP ZAP

でも、、、

俺達のProxy Warは まだ終わらない！！

今回のProxy Warは

「パネルディスカッション」

Starting a Discussion！

テーマ１： 『Proxy使っていてこんな所が非常に困った。』

テーマ2： 『拡張機能について』

テーマ3： 『実際の現場ではどう使っているの？』

まとめ

Proxy Warの結果

• 各ツールに関する知識がより深まった！ • それぞれが持っているTipsなどを共有す

ることができた！ • 情報を発信することで色々な方の考えを

知ることができた！ • 理想のProxyツールについても議論する

ことができた！

いかがでしょうか？

情報共有・発信などについてはやはりもっとやるべき。

是非ともProxy以外でも積極的にやっていきましょう！

Enjoy Proxy Life !