SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

2022年のAndroidにおけるProxy設定と NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED の回避方法

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 本記事では Android で burp などMITM型*1 のProxyを設定する方法と、Android版 Chrome 99 以上で発生する NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRE…

CookieのSameSite属性と4つの勘違い(2022-10版)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見…

WebAuthnをエミュレートするWebアプリの開発

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります…

WSL2, Windows Terminal, Docker Desktop for Windows のインストールメモ

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近、WSL2やDockerを触る機会がありました。 今まで触れていなかったので、これを機会に WSL2 の Ubuntu をインストールしたり、Windows Terminal を…

Linuxシステムの勉強に役立つコマンドの紹介

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日の記事では Linux のネットワークインターフェイス名を出発点として systemd や udev について調査しました。 どうやって調査したかというと、 検…

Raspberry Pi 4 を使ったスマホ向け透過型Proxy環境の構築(その2 : 有線LAN無しパターン)

前回の記事では Raspberry Pi 4 Model B Starter Kit (以下「ラズパイ」) をWiFi AP化し、Burp の Invisible(透過型) Proxy にHTTP(S)通信を転送した。 その時、自宅NWとラズパイの間は有線LAN(eth0)で接続し、WiFi APはラズパイ内蔵の無線LAN(wlan0) を使っ…

Flutter 製アプリを HTTP Proxy に対応させるには

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日 Flutter 製のiOSアプリについて、「WiFi で Proxy 設定しても Burp でHTTP(S) 通信が見れないんですが・・・」と相談を受けました。 少し調べたと…

Raspberry Pi 4 を使ったスマホ向け透過型Proxy環境の構築

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 前回の記事では Raspberry Pi 4 Model B Starter Kit (以下「ラズパイ」) をセットアップしました。 本記事では WiFi AP 化した上で、HTTP(S) アクセス…

Raspberry Pi 4 Model B Starter Kit のセットアップ記録

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、お仕事で Raspberry Pi 4(以下「ラズパイ4」) を触る機会がありました。 WiFi接続設定, SSH/VNCの有効化, 有線LANの静的IP設定などを行いました…

Burp の Invisible(透過型) Proxy の仕組みと使い方

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、Proxy によりHTTPリクエストがどのように変わるかの解説記事を書きました。 また iOS のHTTP通信ライブラリの Proxy 対応状況についても調べてい…

iOSのHTTP通信ライブラリとWiFiのHTTP Proxyサポート状況の調査メモ

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近はiOSアプリによるHTTP通信を診断することが増えてきました。 診断のために iOS のWiFi設定から Burp 向けにHTTP Proxy を設定しますが、一回の設…

「HTTP(S) Proxyを設定する」とはどういうことか、パケットレベルで解説

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 社内で診断ツールやプロキシを開発していることもあり、通信関連のトラブル相談を受けることがあります。 その中で「そもそも HTTP(S) Proxyを設定する…

Burp の TLS Pass Through 設定の使い所と仕組み

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 iOSやAndroidで Burp のProxy設定をすると、いくつかのアプリで通信エラーになってしまうことがあります。 例として以下のような操作があります。 アプ…

iOSにおけるBurpのHTTP Proxy設定(2021版)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日 iOS にBurpのHTTP Proxy設定をする機会がありました。 久しぶりなので改めて調べ直してみたところ、Burpの開発元である PortSwigger 社のサポート…

Oracle Java SE 8 Silver/Gold 受験体験記(坂本)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 7月から、社内エンジニア向けのJavaスキルアップサポートの一貫で、Oracle Java SE 8 Silver/Gold 資格に挑戦してました。 資格取得を通じてJavaの知識…

Java開発のお助けTIPS(2020年5月)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 5月のGW明けごろに、社内のエンジニア向けにJava開発のスキルアップサポートを行う機会がありました。 コロナの影響で在宅となったため、Google Meets …

Spring Fest '19 参加レポート

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 2019-12-18 (水) に御茶ノ水ソラシティで開催された Spring Fest '19 に参加してきましたので、聴講したセッションの感想や講演資料のリンクなどをまと…

PacketProxyを触ってみました

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日DeNA様がGitHub上で公開された PacketProxy を触ってみました。 https://github.com/DeNA/PacketProxy ここがすごい PacketProxyすごい!! 名前の通…

spindle-localproxy というローカルHTTPプロキシを開発しました【Part2】

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 普段は診断向けのスキャンツールを開発していますが、今年(2019年)の3月~8月にかけて、SST内部で使用する独自ローカルHTTPプロキシ「spindle-localpro…

spindle-localproxy というローカルHTTPプロキシを開発しました【Part1】

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 普段は診断向けのスキャンツールを開発していますが、今年(2019年)の3月~8月にかけて、SST内部で使用する独自ローカルHTTPプロキシ「spindle-localpro…

Server-Sent Events でチャットアプリを作ってみた (Spring Boot 2.x系 x Spring MVC x Akka Actor)

こんにちは、SSTでWeb脆弱性診断用のツール開発をしている坂本です。 先日 "Server-Sent Events" という仕様に触れる機会があり、勉強として簡単なチャットアプリをSpring Boot 2.x系 x Spring MVC x Akka Actorの組み合わせで作ってみましたのでその紹介と…

積読を消化する技術

こんにちは、SSTでWeb脆弱性診断用のツール開発をしている坂本です。 弊社塙が先日公開した記事 読まずに読む!?私の読書法 - SSTバックヤード に触発され、IT技術者として「積読」をどう消化するのか、自分なりの心構えと実践例を紹介したいと思います。 …