トップ 開発環境 Fiddler
Fiddlerはセキュリティのテストにも使用できる強力なツールです。Fiddlerとはどんなツールかの説明から、ダウンロードの方法、使い方を簡単に解説しています。
この記事の目次です。
1. Fiddlerとは
2. Fiddler2のダウンロード
3. Fiddler2の使い方
Fiddlerとは、Windowsで動作するhttpやhttpsなどのプロトコルに特化したプロキシサーバ―です。 Fiddlerを使うとすべてのアプリの対象プロトコルを使用する要求がFiddler越しで送られるようになります。 Fiddlerでそれらの要求を閲覧したり、書き換えて送ったり、独自に作成した要求を送る、などできます。
Fiddlerは、http://getfiddler.comでダウンロードできます。 Fiddlerのインストールは簡単です。 インストーラの説明に従って簡単にインストールできます。
活用例を示して、簡単なFiddler2の使い方を紹介していきます。
セッションで確認ページを表示するお問合せフォームを例にセッションハイジャックの例と、Fiddlerの起動からリクエストの閲覧、独自に作成したリクエストの送信など、簡単なFiddlerの使い方を見ていきます。
以下のような確認ページでセッションの内容を表示するお問合せフォームで、 他のユーザから窃取してきたCookieの値を使うことで、他のユーザのページが表示されてしまう、セッション管理のお問合せフォームです。
C:\Program Files (x86)\Fiddler2\Fiddler.exeをクリックして起動します。
Fiddlerはすべてのアプリケーションの要求をプロキシします。 特定のブラウザの通信のみキャプチャするには、FiltersタブのClient Processを使用します。 今回はFirefoxを使用します。
左側のFiltersタブを選択し、Use Filtersにチェックをいれ、Client ProcessのShow only traffic fromのプルダウンでFirefoxのプロセスを選びます。
左に表示されるセッションのどれかを選択して、右クリック>Remove>All Sessionsを選択するとセッションリストがクリアできます。
上述のお問合せフォームを送信まで行って、たとえば、確認ページ(/inquiry/confirm.html)を探して、ダブルクリックすると左にその内容が表示されます。 以下のイメージのようにRawを選択するとヘッダ内容が見やすいです。
WebViewタブを選択するとWebページのイメージが表示されます。
Fiddlerは、かなり凝って作られていて、至るところで右クリックしてみるといろいろな機能が隠されています。 リクエストヘッダーのコピーも選択して、Ctrl+Cや右クリック>Copyの操作でコピーできます。
ComposerのExecuteボタンでコピーしたリクエストが簡単に送信できます。 先ほどコピーしたリクエストヘッダーをRawのところに貼り付けて、HTTPはボディー部と改行で区別するので、改行を2つ追加してExecuteボタンを押すとコピーしたリクエストが送信できます。
なお、例のお問合せフォームは、先ほど送信完了まで行っているので、セッションは破棄されて、確認ページは表示されず、入力ページにリダイレクトされます。
ここでは、別のユーザのCookieの値を窃取してきて、そのCookieを先ほどのリクエストに設定して送信し、セッションハイジャックしてみます。
Cookieの値ですが、たとえば別のブラウザ、ここではChromeを使用しますが、デベロッパーツールなどの開発者ツールを開いてNetworkのところを表示し、確認ページのリクエストを探します。 確認ページのリクエストを見つけたら、レスポンスヘッダのところにある、Cookie:の値をコピーします。
Cookieの値をFiddlerのComposerの先ほど入力ページにリダイレクトされたリクエストヘッダ―に設定して、Executeします。
セッションハイジャックされました。
この例はCookieの値だけでセッションハイジャックされました。 簡単ですが、自作でセッションを使った場合、セッションのチェックなんて気にしないことも多いのではないでしょうか。
また、ちょっと考えてUserAgentをチェックしてみるかもしれません。 でもUserAgentも窃取して貼り付ければ終わりなので、POSTトークンを毎回払いだすなどもっと難解にしたいですね。 Cookieなどのセッション管理情報は窃取されないようにHTTPSに対応し、XSSなどの脆弱性も作りこまないようにするのも重要ですね。
スポンサーリンク
サイト内のページ
言語
C・C++
/HTML
/Java
/JavaScript
/PHP
/シェルスクリプト
開発環境
Ant
/Burp
/Eclipse
/Fiddler
/gcc
/gdb
/Git
/g++
/JDK
/JMeter
/JUnit
/Teraterm
/ZAP
技術・仕様
Ajax
/CORBA
/Jakarta EE(旧称J2EE、Java EE)
/JNI
ライブラリ/Framework/CMS
bootstrap
/jQuery
/FuelPHP
/Lucene
/MyBatis
/Seasar2
/Spring
/Struts
/WordPress
Web API
Google Maps
ITインフラOSとミドルウェア
Linux
/Windows
/シェル
ActiveMQ
/Tomcat
/MariaDB
/MySQL
/Nagios
/Redis
/Solr
ITインフラセキュリティ
公開サーバーのセキュリティ
SI
ホームページの作り方
スポンサーリンク
関連サイト内検索ツール
zealseedsおよび関連サイト内のページが検索できます。
IPアドレス確認ツール
あなたのグローバルIPアドレスは以下です。
3.236.86.184
HTMLの表示色確認ツール
パスワード生成ツール
文字数のプルダウンを選択して、取得ボタンを押すと「a~z、A~Z、0~9」の文字を ランダムに組み合わせた文字列が表示されます。
ここに生成されます。
スポンサーリンク
Copyright (C) 2007-2024 zealseeds. All Rights Reserved. Loarding…