Upload
zaki4649
View
1.122
Download
0
Embed Size (px)
Citation preview
Profile(プロフィール)
とある診断員
Proxy三銃士
With
前回までのあらすじ Proxy三銃士による各Proxyのアピール合戦を開催! そして最後に会場の皆さんに、一番使いたいと思うProxyを選んでいただきました。
Fiddler
BurpSuite
OWASP ZAP
Fiddler http://www.telerik.com/fiddler/web-debugging
Burp Suite http://portswigger.net/burp/
OWASP Zed Attack Proxy Project https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project ※ベンダのロゴは上記サイトから引用。
各Proxyの比較-概要-
Fiddler Burp Suite OWASP ZAP
概要
シンプルな作りの、Web開発者向けのデバッグ用ツール
脆弱性診断を実施するための様々な機能が搭載されている
脆弱性診断用のツールだが、どちらかといえば自動診断に特化
想定ユーザ
開発者 脆弱性診断員 脆弱性診断員 システム管理者
各Proxyの比較-アピールポイントまとめ-
Fiddler Burp Suite OWASP ZAP
Usability
初心者に優しい利便性 • シンプルなUI • インストール設定が易しい • 日本語の資料が沢山
細かい所まで手が届く! • 細かいショートカットキー設定 • 正規表現を利用した検索
非常にとっつき易いUI! • 日本語対応 • ワンタッチで操作が可能な
アイコン表示や便利な機能
Features
作業効率を上げる様々な機能が! • Logging (ログ管理) • Filters (各種フィルタ) • AutoResponder
脆弱性診断に特化した便利な機能が一杯! • Intruder • Repeater • Macro • Session Handling Rules
OSSであること、そしてスキャナ機能が魅力的! • 無償で動的スキャンが可能 • データはDB管理(HSQL)
Special
<魔>改造が可能な拡張機能! • Script Extension (スクリプト
拡張) • Extension Architecture(拡
張アーキテクチャ)
「extender」による機能拡張が可能! • 「BApp Store」より拡張モ
ジュールをインストールも
様々な言語でのスクリプト処理が可能! 数多くのコミュニティが存在 • 日本語コミュニティもできた
よ!
Winner is …
Congratulations!
OWASP ZAP
でも、、、
俺達のProxy Warは まだ終わらない!!
今回のProxy Warは
「パネルディスカッション」
Starting a Discussion!
テーマ1: 『Proxy使っていてこんな所が非常に困った。』
テーマ2: 『拡張機能について』
テーマ3: 『実際の現場ではどう使っているの?』
まとめ
Proxy Warの結果
• 各ツールに関する知識がより深まった! • それぞれが持っているTipsなどを共有す
ることができた! • 情報を発信することで色々な方の考えを
知ることができた! • 理想のProxyツールについても議論する
ことができた!
いかがでしょうか?
情報共有・発信などについてはやはりもっとやるべき。
是非ともProxy以外でも積極的にやっていきましょう!
Enjoy Proxy Life !