トップ 開発環境 Fiddler

Fiddler2の簡単な使い方

Fiddlerはセキュリティのテストにも使用できる強力なツールです。Fiddlerとはどんなツールかの説明から、ダウンロードの方法、使い方を簡単に解説しています。

▲記事トップへ

目次

この記事の目次です。

1. Fiddlerとは
2. Fiddler2のダウンロード
3. Fiddler2の使い方

更新履歴

1. Fiddlerとは

Fiddlerとは、Windowsで動作するhttpやhttpsなどのプロトコルに特化したプロキシサーバ―です。 Fiddlerを使うとすべてのアプリの対象プロトコルを使用する要求がFiddler越しで送られるようになります。 Fiddlerでそれらの要求を閲覧したり、書き換えて送ったり、独自に作成した要求を送る、などできます。

fiddler-image-00

2. Fiddler2のダウンロード

Fiddlerは、http://getfiddler.comでダウンロードできます。 Fiddlerのインストールは簡単です。 インストーラの説明に従って簡単にインストールできます。

3. Fiddler2の使い方

活用例を示して、簡単なFiddler2の使い方を紹介していきます。

Fiddlerの使い方(セッションハイジャックの例)

セッションで確認ページを表示するお問合せフォームを例にセッションハイジャックの例と、Fiddlerの起動からリクエストの閲覧、独自に作成したリクエストの送信など、簡単なFiddlerの使い方を見ていきます。

例で使用するお問合せフォーム

以下のような確認ページでセッションの内容を表示するお問合せフォームで、 他のユーザから窃取してきたCookieの値を使うことで、他のユーザのページが表示されてしまう、セッション管理のお問合せフォームです。

  1. お問合せ入力(/inquiry/input.html)
  2. 入力チェック(/inquiry/validate.html)…チェックしてセッションに入力内容を保存
  3. お問合せ確認(/inquiry/confirm.html)…セッションに保存した入力内容を表示
  4. お問合せ送信(/inquiry/finish.html)
inquiry-image-01

Fiddlerの起動

C:\Program Files (x86)\Fiddler2\Fiddler.exeをクリックして起動します。

fiddler-image-01

特定のブラウザの通信のみを表示する

Fiddlerはすべてのアプリケーションの要求をプロキシします。 特定のブラウザの通信のみキャプチャするには、FiltersタブのClient Processを使用します。 今回はFirefoxを使用します。

左側のFiltersタブを選択し、Use Filtersにチェックをいれ、Client ProcessのShow only traffic fromのプルダウンでFirefoxのプロセスを選びます。

fiddler-image-02

Fiddlerのセッションリストのクリア

左に表示されるセッションのどれかを選択して、右クリック>Remove>All Sessionsを選択するとセッションリストがクリアできます。

fiddler-image-03 fiddler-image-04

Fiddlerのセッションの内容表示

上述のお問合せフォームを送信まで行って、たとえば、確認ページ(/inquiry/confirm.html)を探して、ダブルクリックすると左にその内容が表示されます。 以下のイメージのようにRawを選択するとヘッダ内容が見やすいです。

fiddler-image-05

WebViewタブを選択するとWebページのイメージが表示されます。

fiddler-image-06
リクエストヘッダ―のコピー

Fiddlerは、かなり凝って作られていて、至るところで右クリックしてみるといろいろな機能が隠されています。 リクエストヘッダーのコピーも選択して、Ctrl+Cや右クリック>Copyの操作でコピーできます。

fiddler-image-07
コピーしたリクエストの送信

ComposerのExecuteボタンでコピーしたリクエストが簡単に送信できます。 先ほどコピーしたリクエストヘッダーをRawのところに貼り付けて、HTTPはボディー部と改行で区別するので、改行を2つ追加してExecuteボタンを押すとコピーしたリクエストが送信できます。

fiddler-image-08

なお、例のお問合せフォームは、先ほど送信完了まで行っているので、セッションは破棄されて、確認ページは表示されず、入力ページにリダイレクトされます。

コピーしたリクエストを書き換えて送信

ここでは、別のユーザのCookieの値を窃取してきて、そのCookieを先ほどのリクエストに設定して送信し、セッションハイジャックしてみます。

Cookieの値ですが、たとえば別のブラウザ、ここではChromeを使用しますが、デベロッパーツールなどの開発者ツールを開いてNetworkのところを表示し、確認ページのリクエストを探します。 確認ページのリクエストを見つけたら、レスポンスヘッダのところにある、Cookie:の値をコピーします。

fiddler-image-09

Cookieの値をFiddlerのComposerの先ほど入力ページにリダイレクトされたリクエストヘッダ―に設定して、Executeします。

fiddler-image-10

セッションハイジャックされました。

fiddler-image-11

この例はCookieの値だけでセッションハイジャックされました。 簡単ですが、自作でセッションを使った場合、セッションのチェックなんて気にしないことも多いのではないでしょうか。

また、ちょっと考えてUserAgentをチェックしてみるかもしれません。 でもUserAgentも窃取して貼り付ければ終わりなので、POSTトークンを毎回払いだすなどもっと難解にしたいですね。 Cookieなどのセッション管理情報は窃取されないようにHTTPSに対応し、XSSなどの脆弱性も作りこまないようにするのも重要ですね。

更新履歴

戻る

スポンサーリンク

サイト内のページ

言語
C・C++ /HTML /Java /JavaScript /PHP /シェルスクリプト

開発環境
Ant /Burp /Eclipse /Fiddler /gcc /gdb /Git /g++ /JDK /JMeter /JUnit /Teraterm /ZAP

技術・仕様
Ajax /CORBA /Jakarta EE(旧称J2EE、Java EE) /JNI

ライブラリ/Framework/CMS
bootstrap /jQuery /FuelPHP /Lucene /MyBatis /Seasar2 /Spring /Struts /WordPress

Web API
Google Maps

ITインフラOSとミドルウェア
Linux /Windows /シェル
ActiveMQ /Tomcat /MariaDB /MySQL /Nagios /Redis /Solr

ITインフラサーバー
公開Webサーバー

ITインフラネットワーク
プログラミング /構築

ITインフラセキュリティ
公開サーバーのセキュリティ

PC製品
ZOTAC

SI
ホームページの作り方

その他
IT用語 /ITスキル体系

スポンサーリンク

関連サイト内検索ツール

zealseedsおよび関連サイト内のページが検索できます。

IPアドレス確認ツール

あなたのグローバルIPアドレスは以下です。

3.236.86.184

HTMLの表示色確認ツール

パスワード生成ツール

文字数のプルダウンを選択して、取得ボタンを押すと「a~z、A~Z、0~9」の文字を ランダムに組み合わせた文字列が表示されます。

ここに生成されます。

スポンサーリンク