Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか

脆弱性診断 HTTP

レスポンスヘッダとして「Access-Control-Allow-Origin」に「*」やリクエストの Origin ヘッダの値を設定したとき、ブラウザがどのような動きをするのか考え、確かめる記事。

2021-08-12

Flutter 製アプリを HTTP Proxy に対応させるには

Flutter HTTP Proxy

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。先日 Flutter 製のiOSアプリについて、「WiFi で Proxy 設定しても Burp でHTTP(S) 通信が見れないんですが・・・」と相談を受けました。少し調べたと…

Flutter HTTP Proxy

2021-08-11

Raspberry Pi 4 を使ったスマホ向け透過型Proxy環境の構築

Burp HTTP Proxy Raspberry Pi iOS Android SSL/TLS

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。前回の記事では Raspberry Pi 4 Model B Starter Kit (以下「ラズパイ」) をセットアップしました。本記事では WiFi AP 化した上で、HTTP(S) アクセス…

Burp HTTP Proxy Raspberry Pi iOS Android SSL/TLS

2021-08-06

Burp の Invisible(透過型) Proxy の仕組みと使い方

Burp HTTP Proxy SSL/TLS

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。先日、Proxy によりHTTPリクエストがどのように変わるかの解説記事を書きました。また iOS のHTTP通信ライブラリの Proxy 対応状況についても調べてい…

Burp HTTP Proxy SSL/TLS

2021-08-05

iOSのHTTP通信ライブラリとWiFiのHTTP Proxyサポート状況の調査メモ

iOS HTTP Proxy

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。最近はiOSアプリによるHTTP通信を診断することが増えてきました。診断のために iOS のWiFi設定から Burp 向けにHTTP Proxy を設定しますが、一回の設…

iOS Proxy HTTP

2021-08-04

「HTTP(S) Proxyを設定する」とはどういうことか、パケットレベルで解説

Burp HTTP SSL/TLS Proxy

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。社内で診断ツールやプロキシを開発していることもあり、通信関連のトラブル相談を受けることがあります。その中で「そもそも HTTP(S) Proxyを設定する…

Burp HTTP SSL/TLS Proxy

2021-08-03

Burp の TLS Pass Through 設定の使い所と仕組み

HTTP Burp Proxy SSL/TLS

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 iOSやAndroidで Burp のProxy設定をすると、いくつかのアプリで通信エラーになってしまうことがあります。例として以下のような操作があります。アプ…

Burp HTTP Proxy SSL/TLS

2021-08-02

iOSにおけるBurpのHTTP Proxy設定(2021版)

Burp HTTP Proxy iOS

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。先日 iOS にBurpのHTTP Proxy設定をする機会がありました。久しぶりなので改めて調べ直してみたところ、Burpの開発元である PortSwigger 社のサポート…

iOS Burp HTTP Proxy

2020-07-10

Burp 2020.6でHTTP/2対応したから試してみた

HTTP Burp

はじめにリゼロ2期が7/13配信なので待ちわびて仕事のやる気が起きない岩間です。 (まぁ最近アニメ見れてないんですけどね。それよりもFactorioとかProject WinterとOvercookedとか協力プレイ系のゲームが楽しくてゲーム三昧で寝不足気味) Burp 2020.6からHT…

2019-10-04

PacketProxyを触ってみました

HTTP Java Proxy

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。先日DeNA様がGitHub上で公開された PacketProxy を触ってみました。 https://github.com/DeNA/PacketProxy ここがすごい PacketProxyすごい!! 名前の通…

2019-09-04

spindle-localproxy というローカルHTTPプロキシを開発しました【Part2】

HTTP Java ExtJS Proxy 開発 Spring

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。普段は診断向けのスキャンツールを開発していますが、今年(2019年)の3月～8月にかけて、SST内部で使用する独自ローカルHTTPプロキシ「spindle-localpro…

2019-08-30

spindle-localproxy というローカルHTTPプロキシを開発しました【Part1】

HTTP Java 脆弱性診断 Proxy 開発

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。普段は診断向けのスキャンツールを開発していますが、今年(2019年)の3月～8月にかけて、SST内部で使用する独自ローカルHTTPプロキシ「spindle-localpro…

2018-12-28

Server-Sent Events でチャットアプリを作ってみた (Spring Boot 2.x系 x Spring MVC x Akka Actor)

Java HTTP Spring Akka JavaScript

こんにちは、SSTでWeb脆弱性診断用のツール開発をしている坂本です。先日 "Server-Sent Events" という仕様に触れる機会があり、勉強として簡単なチャットアプリをSpring Boot 2.x系 x Spring MVC x Akka Actorの組み合わせで作ってみましたのでその紹介と…