Upcoming SlideShare
Fiddler Scriptデモ
- 1. FIDDLER SCRIPT デモ Fiddler チュートリアルワークショップ 「はじめてのFiddler reloaded」 2014/10/25
- 2. プロフィール • 本田崇(ほんだたかし) • twitter: @hagurese • 株式会社シグナルベースセキュリティ診断グループ • Webアプリのセキュリティ診断やってます。 • セキュリティ診断7年 • Fiddler歴は5年ぐらい? • 2014年3月OWASP AppSec APAC 「12の事例に学ぶWebアプリケーションのアクセス制御」 http://sssslide.com/speakerdeck.com/owaspjapan/12-case-studies-for-the-access- controls-of-web-application-number-appsecapac2014 • 元々はシステム開発やってました。 • C/Sアプリ開発5年、Webアプリ開発5年 • C# プログラマ • Fiddlerアドオンも開発してます。 http://www.hagurese.net/factory/
- 3. Fiddler Script を使うなら • 「Fiddler Script Editor」アドオン http://www.telerik.com/download/fiddler/fiddlerscript-editor ここをクリックしてインストール
- 4. Fiddler Script を使うなら • Fiddler2 Script Editor
- 5. Fiddler Script を使うなら • Fiddler Script Tab
- 6. Fiddler Script デモ① ケース① .sazファイルを保存せずにうっかり Fiddlerを終了させてしまった・・・orz ・Fiddler終了時に忘れずに.sazファイルを保存したい。 → Fiddler終了時に.sazファイルを保存する。
- 7. Fiddler Script デモ① スクリプト例. CustomRules.js – OnShutdownに以下のコードを追加します。 FiddlerObject.UI.actSelectAll(); var sessions = FiddlerObject.UI.GetSelectedSessions(); if(sessions != null && sessions.Length > 0) { FiddlerObject.UI.actSaveSessionsToZip(); }
- 8. Fiddler Script デモ①-2 スクリプト例. CustomRules.js – OnBootに以下のコードを追加します。 FiddlerObject.UI.ControlBox = false; ウインドウ右上の「×」ボタンを使えないように してしまえば、うっかり終了しなくなる。
- 9. Fiddler Script デモ② ケース② クローズドな試験環境に配置した Webアプリケーションに含まれる 外部リンクにはアクセスしたくない。 ・試験環境のWebアプリケーション以外にはアクセスで きないようにしたい。 → 対象ホスト以外のアクセスを遮断する。
- 10. Fiddler Script デモ② スクリプト例. CustomRules.js – OnBeforeRequestに以下のコードを追加します。 if(oSession.hostname != “target.host"){ //ホスト名は適宜変更 oSession.utilCreateResponseAndBypassServer(); oSession.oResponse.headers.SetStatus(503,“filtered"); //oSession[“ui-hide”] = “filtered”;//遮断したセッションを非表示 }
- 11. Fiddler Script デモ③ ケース③ .sazファイルを後日見返してみると大事な セッションがどれだったか分かりにくい。 ・大事なセッションに色を付けておけば、視覚的に区別し やすいのでは? → 選択されたセッションの背景色を設定する。
- 12. Fiddler Script デモ③ スクリプト例. CustomRules.js – OnExecActionに以下のコードを追加します。 case "setbkcolor": if(sParams.Length >= 2){ var sessions = FiddlerObject.UI.GetSelectedSessions(); if(sessions != null){ for(var i = 0; i < sessions.Length; i++){ var session = sessions [i]; if(session != null){ session ["ui-backcolor"] = sParams[1]; session.RefreshUI(); } } } } return true;
- 13. Fiddler Script デモ③ •ご参考URL http://docs.telerik.com/fiddler/knowledgebase/sessionflags •Fiddler SessionFlags •UI Flags • ui-backcolor The value of this flag determines the background color used behind this session's entry in the Session List.
Be the first to comment