Submit Search
Upload
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
•
2 likes
•
2,774 views
T
tobaru_yuta
Follow
Burp Suite Japan LT Carnival 2016/11/18
Read less
Read more
Internet
Report
Share
Report
Share
1 of 26
Download now
Download to read offline
Recommended
DroidKaigi 2019講演資料
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
XRミーティング 2020/12/16登壇資料。 HoloLens 2で入力に使える操作方法を整理しつつ、Gaze And Dwellという聞きなれない言葉についてMRTKの機能を元に紹介。
HoloLensでコンテンツを操作する方法 - Gaze And Dwell -
HoloLensでコンテンツを操作する方法 - Gaze And Dwell -
Takahiro Miyaura
Unityのmetaファイルについての資料
良くわかるMeta
良くわかるMeta
daichi horio
こちらのスライドは以下のサイトにて閲覧いただけます。 https://www.docswell.com/s/ockeghem/ZM6VNK-phpconf2021-spa-security シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXk
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
XRミーティング 2022/04/20【AR/CR/MR/SR/VR】(https://osaka-driven-dev.connpass.com/event/244101/)登壇資料。 XRコンテンツ開発を容易にするための標準規格について調べてみた話。OpenVRを使いたいときにそれ自体のSDKがあるのかわからなくて基本的なことを調査した。
OpenVRやOpenXRの基本的なことを調べてみた
OpenVRやOpenXRの基本的なことを調べてみた
Takahiro Miyaura
DroidKaigi2018 DAY1 /16:50-17:20/Room7の「アプリの鍵が消える時」の資料です。 発表時の内容をベースにしたものに公開しなおしています。
アプリの鍵が消える時_Droid kaigi2018
アプリの鍵が消える時_Droid kaigi2018
ak_shio_555
スマホゲームのチートにはメモリの改ざんを利用するお手軽なものに始まり、パケットの改ざんやコードの改ざんまで、多様な手法が存在します。しかし、それらがインターネットや書籍で語られることは多くはありません。これまでのDeNAのセキュリティチームの経験を基に、それぞれのチート手法を説明したあと、どのように対策をすれば良いのか、ご紹介させていただきます。
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
DeNA
Recommended
DroidKaigi 2019講演資料
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
XRミーティング 2020/12/16登壇資料。 HoloLens 2で入力に使える操作方法を整理しつつ、Gaze And Dwellという聞きなれない言葉についてMRTKの機能を元に紹介。
HoloLensでコンテンツを操作する方法 - Gaze And Dwell -
HoloLensでコンテンツを操作する方法 - Gaze And Dwell -
Takahiro Miyaura
Unityのmetaファイルについての資料
良くわかるMeta
良くわかるMeta
daichi horio
こちらのスライドは以下のサイトにて閲覧いただけます。 https://www.docswell.com/s/ockeghem/ZM6VNK-phpconf2021-spa-security シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXk
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
XRミーティング 2022/04/20【AR/CR/MR/SR/VR】(https://osaka-driven-dev.connpass.com/event/244101/)登壇資料。 XRコンテンツ開発を容易にするための標準規格について調べてみた話。OpenVRを使いたいときにそれ自体のSDKがあるのかわからなくて基本的なことを調査した。
OpenVRやOpenXRの基本的なことを調べてみた
OpenVRやOpenXRの基本的なことを調べてみた
Takahiro Miyaura
DroidKaigi2018 DAY1 /16:50-17:20/Room7の「アプリの鍵が消える時」の資料です。 発表時の内容をベースにしたものに公開しなおしています。
アプリの鍵が消える時_Droid kaigi2018
アプリの鍵が消える時_Droid kaigi2018
ak_shio_555
スマホゲームのチートにはメモリの改ざんを利用するお手軽なものに始まり、パケットの改ざんやコードの改ざんまで、多様な手法が存在します。しかし、それらがインターネットや書籍で語られることは多くはありません。これまでのDeNAのセキュリティチームの経験を基に、それぞれのチート手法を説明したあと、どのように対策をすれば良いのか、ご紹介させていただきます。
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
DeNA
2019/9/25-6に開催されたUnite Tokyo 2019の講演スライドです。 Kim Minhyuk(株式会社 Aiming) こんな人におすすめ ・アプリケーション最適化の必要性を感じている方 ・低スペック端末でアプリケーションが落ちてしまう方 ・パフォーマンスも重視しながら他人が読みやすいコードを書きたい方 受講者が得られる知見 ・知らない間に増加しているアプリケーションメモリ使用量の改善策 ・ビルドサイズ・ロード時間の改善策 ・読みやすくGCを走らせないC#コードの書き方 Unityのイベント資料はこちらから: https://www.slideshare.net/UnityTechnologiesJapan/clipboards
【Unite Tokyo 2019】今すぐ現場で覚えておきたい最適化技法 ~「ゲシュタルト・オーディン」開発における最適化事例~
【Unite Tokyo 2019】今すぐ現場で覚えておきたい最適化技法 ~「ゲシュタルト・オーディン」開発における最適化事例~
UnityTechnologiesJapan002
なぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。 参考文献はこちら:Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Badstoreを用いたBurp Suite実践編
[BurpSuiteJapan]Burp Suite実践編
[BurpSuiteJapan]Burp Suite実践編
Burp Suite Japan User Group
組織にテストを書く文化を根付かせる戦略と戦術 Feb 16, 2016 @ 日本OSS推進フォーラム
組織にテストを書く文化を根付かせる戦略と戦術
組織にテストを書く文化を根付かせる戦略と戦術
Takuto Wada
JJUG ナイトセミナー 「メッセージングミドルウェア特集」のRabbitMQの発表資料です。 https://jjug.doorkeeper.jp/events/65028
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
PHPカンファレンス北海道にて 2012/04/21
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
Okta Workflowsによるノーコード業務改善 〜Jamf APIを使ってMac端末情報を自動収集してみよう〜
[Okta x Jamf合同新年会] Okta Workflowsによるノーコード業務改善 〜Jamf APIを使ってMac端末情報を自動収集してみよう〜
[Okta x Jamf合同新年会] Okta Workflowsによるノーコード業務改善 〜Jamf APIを使ってMac端末情報を自動収集してみよう〜
Ryo Sasaki
CEDEC+KYUSHU2022の登壇資料です。 http://cedec-kyushu.jp/2022/session/12.html
モバイルオンラインゲームでの大規模観戦とチート対策 〜自社製リアルタイム通信システム「WSNet2」の事例〜
モバイルオンラインゲームでの大規模観戦とチート対策 〜自社製リアルタイム通信システム「WSNet2」の事例〜
KLab Inc. / Tech
UnityやARCore初心者向けのチュートリアル資料。 ※3/9に開催したハンズオン資料の修正版です
はじめようARCore:自己位置推定・平面検出・FaceTracking
はじめようARCore:自己位置推定・平面検出・FaceTracking
Takashi Yoshinaga
Go言語LT大会で発表した資料です。 https://go-beginners.connpass.com/event/55768/
オススメの標準・準標準パッケージ20選
オススメの標準・準標準パッケージ20選
Takuya Ueda
2021年8月5日開催「いまさら聞けないarmを使ったNEONの基礎と活用事例」セミナー資料です。
いまさら聞けないarmを使ったNEONの基礎と活用事例
いまさら聞けないarmを使ったNEONの基礎と活用事例
Fixstars Corporation
高知組み込み会 #5 「ロボットシステムのつくりかた」 〜Robot Operating Systemというアプローチ〜 https://kochi-embedded-meeting.connpass.com/event/169398/
ロボットシステムのつくりかた 〜Robot Operating Systemというアプローチ〜
ロボットシステムのつくりかた 〜Robot Operating Systemというアプローチ〜
Hideki Takase
今年3月に発売されたFINAL FANTASY XV WINDOWS EDITIONでは、マルチプレイ実装にPhoton Serverを採用しています。コンソールのバージョンとも親和性が高く、なんと約1週間で動作するところまで到達しました! 本セッションでは、FF15内でのパケット送信のカスタマイズやマルチプレイ特有の実装、バックエンドサーバーの構成などのご紹介に加え、Photonのイントロダクションと最新情報も合わせてご案内いたします。内容の濃い45分間、ご期待ください!
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
Game Tools & Middleware Forum
2021/11/17に開催したハンズオン資料
【準備編】OculusQuest/HoloLens2対応WebXR開発
【準備編】OculusQuest/HoloLens2対応WebXR開発
Takashi Yoshinaga
2023/4/28 Deep Learning JP http://deeplearning.jp/seminar-2/
【DL輪読会】Emergent World Representations: Exploring a Sequence ModelTrained on a...
【DL輪読会】Emergent World Representations: Exploring a Sequence ModelTrained on a...
Deep Learning JP
2019 年 11 月 18 日 Google Cloud INSIDE Game & Apps 『私たちがGCPを使い始めた本当の理由』 グリー株式会社 堀口 真司氏のセッションの登壇スライドです。
グリー株式会社『私たちが GCP を使い始めた本当の理由』第 9 回 Google Cloud INSIDE Game & Apps
グリー株式会社『私たちが GCP を使い始めた本当の理由』第 9 回 Google Cloud INSIDE Game & Apps
Google Cloud Platform - Japan
昨今、データベース技術は、多様な広がりを見せています。中でも時系列データベースは、サーバーのメトリクスやセンサーデータなど、身近なものから得られる時系列のデータの扱いに長けています。本セッションでは、最近ホットな時系列DBであるInfluxDBおよびTelegraf,Grafana,Kapacitorを用い、実際の環境構築からユーザ定義関数による時系列データの異常検知の可視化まで、全ての流れをセッション内でお見せします。
[db tech showcase Tokyo 2017] E21: InfluxDB+αで時系列データの異常検知を可視化してみた by 株式会社インサイ...
[db tech showcase Tokyo 2017] E21: InfluxDB+αで時系列データの異常検知を可視化してみた by 株式会社インサイ...
Insight Technology, Inc.
第20回 Lucene/Solr勉強会 https://solr.doorkeeper.jp/events/59743 発表資料
Solrで多様なランキングモデルを活用するためのプラグイン開発 #SolrJP
Solrで多様なランキングモデルを活用するためのプラグイン開発 #SolrJP
Yahoo!デベロッパーネットワーク
2016/02/14 シェーダだけで世界を創る!three.jsによるレイマーチング GPU の熱でチョコも溶けちゃう!? GLSL シェーダテクニック勉強会 @gam0022
シェーダだけで世界を創る!three.jsによるレイマーチング
シェーダだけで世界を創る!three.jsによるレイマーチング
Sho Hosoda
OSSセキュリティ技術の会 第五回勉強会 Keycloak 拡張入門 https://secureoss-sig.connpass.com/event/130011/
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
2016/11/18にBurp Suite Japan LT Carnivalで登壇した時の資料です。
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
2016/05/17に開催したSecurity-JAWSにて登壇した時の資料です。
とある診断員とAWS
とある診断員とAWS
zaki4649
More Related Content
What's hot
2019/9/25-6に開催されたUnite Tokyo 2019の講演スライドです。 Kim Minhyuk(株式会社 Aiming) こんな人におすすめ ・アプリケーション最適化の必要性を感じている方 ・低スペック端末でアプリケーションが落ちてしまう方 ・パフォーマンスも重視しながら他人が読みやすいコードを書きたい方 受講者が得られる知見 ・知らない間に増加しているアプリケーションメモリ使用量の改善策 ・ビルドサイズ・ロード時間の改善策 ・読みやすくGCを走らせないC#コードの書き方 Unityのイベント資料はこちらから: https://www.slideshare.net/UnityTechnologiesJapan/clipboards
【Unite Tokyo 2019】今すぐ現場で覚えておきたい最適化技法 ~「ゲシュタルト・オーディン」開発における最適化事例~
【Unite Tokyo 2019】今すぐ現場で覚えておきたい最適化技法 ~「ゲシュタルト・オーディン」開発における最適化事例~
UnityTechnologiesJapan002
なぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。 参考文献はこちら:Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Badstoreを用いたBurp Suite実践編
[BurpSuiteJapan]Burp Suite実践編
[BurpSuiteJapan]Burp Suite実践編
Burp Suite Japan User Group
組織にテストを書く文化を根付かせる戦略と戦術 Feb 16, 2016 @ 日本OSS推進フォーラム
組織にテストを書く文化を根付かせる戦略と戦術
組織にテストを書く文化を根付かせる戦略と戦術
Takuto Wada
JJUG ナイトセミナー 「メッセージングミドルウェア特集」のRabbitMQの発表資料です。 https://jjug.doorkeeper.jp/events/65028
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
PHPカンファレンス北海道にて 2012/04/21
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
Okta Workflowsによるノーコード業務改善 〜Jamf APIを使ってMac端末情報を自動収集してみよう〜
[Okta x Jamf合同新年会] Okta Workflowsによるノーコード業務改善 〜Jamf APIを使ってMac端末情報を自動収集してみよう〜
[Okta x Jamf合同新年会] Okta Workflowsによるノーコード業務改善 〜Jamf APIを使ってMac端末情報を自動収集してみよう〜
Ryo Sasaki
CEDEC+KYUSHU2022の登壇資料です。 http://cedec-kyushu.jp/2022/session/12.html
モバイルオンラインゲームでの大規模観戦とチート対策 〜自社製リアルタイム通信システム「WSNet2」の事例〜
モバイルオンラインゲームでの大規模観戦とチート対策 〜自社製リアルタイム通信システム「WSNet2」の事例〜
KLab Inc. / Tech
UnityやARCore初心者向けのチュートリアル資料。 ※3/9に開催したハンズオン資料の修正版です
はじめようARCore:自己位置推定・平面検出・FaceTracking
はじめようARCore:自己位置推定・平面検出・FaceTracking
Takashi Yoshinaga
Go言語LT大会で発表した資料です。 https://go-beginners.connpass.com/event/55768/
オススメの標準・準標準パッケージ20選
オススメの標準・準標準パッケージ20選
Takuya Ueda
2021年8月5日開催「いまさら聞けないarmを使ったNEONの基礎と活用事例」セミナー資料です。
いまさら聞けないarmを使ったNEONの基礎と活用事例
いまさら聞けないarmを使ったNEONの基礎と活用事例
Fixstars Corporation
高知組み込み会 #5 「ロボットシステムのつくりかた」 〜Robot Operating Systemというアプローチ〜 https://kochi-embedded-meeting.connpass.com/event/169398/
ロボットシステムのつくりかた 〜Robot Operating Systemというアプローチ〜
ロボットシステムのつくりかた 〜Robot Operating Systemというアプローチ〜
Hideki Takase
今年3月に発売されたFINAL FANTASY XV WINDOWS EDITIONでは、マルチプレイ実装にPhoton Serverを採用しています。コンソールのバージョンとも親和性が高く、なんと約1週間で動作するところまで到達しました! 本セッションでは、FF15内でのパケット送信のカスタマイズやマルチプレイ特有の実装、バックエンドサーバーの構成などのご紹介に加え、Photonのイントロダクションと最新情報も合わせてご案内いたします。内容の濃い45分間、ご期待ください!
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
Game Tools & Middleware Forum
2021/11/17に開催したハンズオン資料
【準備編】OculusQuest/HoloLens2対応WebXR開発
【準備編】OculusQuest/HoloLens2対応WebXR開発
Takashi Yoshinaga
2023/4/28 Deep Learning JP http://deeplearning.jp/seminar-2/
【DL輪読会】Emergent World Representations: Exploring a Sequence ModelTrained on a...
【DL輪読会】Emergent World Representations: Exploring a Sequence ModelTrained on a...
Deep Learning JP
2019 年 11 月 18 日 Google Cloud INSIDE Game & Apps 『私たちがGCPを使い始めた本当の理由』 グリー株式会社 堀口 真司氏のセッションの登壇スライドです。
グリー株式会社『私たちが GCP を使い始めた本当の理由』第 9 回 Google Cloud INSIDE Game & Apps
グリー株式会社『私たちが GCP を使い始めた本当の理由』第 9 回 Google Cloud INSIDE Game & Apps
Google Cloud Platform - Japan
昨今、データベース技術は、多様な広がりを見せています。中でも時系列データベースは、サーバーのメトリクスやセンサーデータなど、身近なものから得られる時系列のデータの扱いに長けています。本セッションでは、最近ホットな時系列DBであるInfluxDBおよびTelegraf,Grafana,Kapacitorを用い、実際の環境構築からユーザ定義関数による時系列データの異常検知の可視化まで、全ての流れをセッション内でお見せします。
[db tech showcase Tokyo 2017] E21: InfluxDB+αで時系列データの異常検知を可視化してみた by 株式会社インサイ...
[db tech showcase Tokyo 2017] E21: InfluxDB+αで時系列データの異常検知を可視化してみた by 株式会社インサイ...
Insight Technology, Inc.
第20回 Lucene/Solr勉強会 https://solr.doorkeeper.jp/events/59743 発表資料
Solrで多様なランキングモデルを活用するためのプラグイン開発 #SolrJP
Solrで多様なランキングモデルを活用するためのプラグイン開発 #SolrJP
Yahoo!デベロッパーネットワーク
2016/02/14 シェーダだけで世界を創る!three.jsによるレイマーチング GPU の熱でチョコも溶けちゃう!? GLSL シェーダテクニック勉強会 @gam0022
シェーダだけで世界を創る!three.jsによるレイマーチング
シェーダだけで世界を創る!three.jsによるレイマーチング
Sho Hosoda
OSSセキュリティ技術の会 第五回勉強会 Keycloak 拡張入門 https://secureoss-sig.connpass.com/event/130011/
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
What's hot
(20)
【Unite Tokyo 2019】今すぐ現場で覚えておきたい最適化技法 ~「ゲシュタルト・オーディン」開発における最適化事例~
【Unite Tokyo 2019】今すぐ現場で覚えておきたい最適化技法 ~「ゲシュタルト・オーディン」開発における最適化事例~
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
[BurpSuiteJapan]Burp Suite実践編
[BurpSuiteJapan]Burp Suite実践編
組織にテストを書く文化を根付かせる戦略と戦術
組織にテストを書く文化を根付かせる戦略と戦術
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
[Okta x Jamf合同新年会] Okta Workflowsによるノーコード業務改善 〜Jamf APIを使ってMac端末情報を自動収集してみよう〜
[Okta x Jamf合同新年会] Okta Workflowsによるノーコード業務改善 〜Jamf APIを使ってMac端末情報を自動収集してみよう〜
モバイルオンラインゲームでの大規模観戦とチート対策 〜自社製リアルタイム通信システム「WSNet2」の事例〜
モバイルオンラインゲームでの大規模観戦とチート対策 〜自社製リアルタイム通信システム「WSNet2」の事例〜
はじめようARCore:自己位置推定・平面検出・FaceTracking
はじめようARCore:自己位置推定・平面検出・FaceTracking
オススメの標準・準標準パッケージ20選
オススメの標準・準標準パッケージ20選
いまさら聞けないarmを使ったNEONの基礎と活用事例
いまさら聞けないarmを使ったNEONの基礎と活用事例
ロボットシステムのつくりかた 〜Robot Operating Systemというアプローチ〜
ロボットシステムのつくりかた 〜Robot Operating Systemというアプローチ〜
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
FINAL FANTASY XVにおけるPhoton利用事例 - Photon運営事務局 GTMF 2018 OSAKA / TOKYO
【準備編】OculusQuest/HoloLens2対応WebXR開発
【準備編】OculusQuest/HoloLens2対応WebXR開発
【DL輪読会】Emergent World Representations: Exploring a Sequence ModelTrained on a...
【DL輪読会】Emergent World Representations: Exploring a Sequence ModelTrained on a...
グリー株式会社『私たちが GCP を使い始めた本当の理由』第 9 回 Google Cloud INSIDE Game & Apps
グリー株式会社『私たちが GCP を使い始めた本当の理由』第 9 回 Google Cloud INSIDE Game & Apps
[db tech showcase Tokyo 2017] E21: InfluxDB+αで時系列データの異常検知を可視化してみた by 株式会社インサイ...
[db tech showcase Tokyo 2017] E21: InfluxDB+αで時系列データの異常検知を可視化してみた by 株式会社インサイ...
Solrで多様なランキングモデルを活用するためのプラグイン開発 #SolrJP
Solrで多様なランキングモデルを活用するためのプラグイン開発 #SolrJP
シェーダだけで世界を創る!three.jsによるレイマーチング
シェーダだけで世界を創る!three.jsによるレイマーチング
Keycloak拡張入門
Keycloak拡張入門
Viewers also liked
2016/11/18にBurp Suite Japan LT Carnivalで登壇した時の資料です。
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
2016/05/17に開催したSecurity-JAWSにて登壇した時の資料です。
とある診断員とAWS
とある診断員とAWS
zaki4649
20160615_JAWS-UG大阪の資料
20160615 知能犯もシャットアウト!アイドルが教えるAmazonInspector♡
20160615 知能犯もシャットアウト!アイドルが教えるAmazonInspector♡
Haruna Nakayama
2014 年 03 月 22 日に開催された MVP Community Camp 2014 名古屋会場で発表させていただいたセッション資料です。
Knockout.js を利用したインタラクティブ web アプリケーション開発
Knockout.js を利用したインタラクティブ web アプリケーション開発
Daizen Ikehara
12/20に#ssmjpにて登壇した際の資料です。 LT中では説明しきれなかった部分を若干つけたししています。 なお、PoCのデモ動画は以下にアップロードしています。 https://youtu.be/OWqBYuExKqo
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
July Tech Festa 2015にて登壇した際の資料です。 なお後日、小河さんがOpen VASのCLI操作の解説について以下のスライドを追加投稿してくれました! 「フリーでできるセキュリティチェック OpenVAS CLI編」 http://www.slideshare.net/abend_cve_9999_0001/openvas-cli-51048313
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
How to add SSL Pinning in Android or iOS Application and How to Bypass them. Delivered in November 2015 Null / G4H / OWASP combined monthly meet.
SSL Pinning and Bypasses: Android and iOS
SSL Pinning and Bypasses: Android and iOS
Anant Shrivastava
Viewers also liked
(7)
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
とある診断員とAWS
とある診断員とAWS
20160615 知能犯もシャットアウト!アイドルが教えるAmazonInspector♡
20160615 知能犯もシャットアウト!アイドルが教えるAmazonInspector♡
Knockout.js を利用したインタラクティブ web アプリケーション開発
Knockout.js を利用したインタラクティブ web アプリケーション開発
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
SSL Pinning and Bypasses: Android and iOS
SSL Pinning and Bypasses: Android and iOS
Burp suite を使って iPhone アプリを診断した時に困ったことと、解決方法
1.
Burp Suiteを使って iPhoneアプリを診断した時に 困ったことと、解決方法 Burp Suite
Japan LT Carnival
2.
自己紹介 名前 桃原 裕太
/ とうばる ゆうた 所属 株式会社 シーエー・アドバンス 技術統括本部 経歴 前職 ・ECサイト等の開発 株式会社 シーエー・アドバンス ・社内ツールの開発 ・脆弱性診断の業務に携わって約4年 業務 Webアプリケーション脆弱性診断 ・PCブラウザ向けアプリ ・SPブラウザ向けアプリ ・Androidアプリ ・iOSアプリ 2/26
3.
本日のテーマについてざっくり解説 ❏ 困ったこと ❏ Burp
Suite で iPhone アプリを診断した時に、 特定のドメインだけ通信が取得できない状態に… ❏ 解決方法 ❏ Macの機能を使って解決できました! ❏ インターネット共有 ❏ パケットフィルタ機能 3/26
4.
通常は下記のように診断しています。 Android/iPhoneの診断 Burp Suite:8080 社内NW Burp Suite上で HTTPリクエスト/レスポンスを確 認、改竄できる 4/26
5.
通常は下記のように診断しています。(HTTPリクエスト) Android/iPhoneの診断 Burp Suite:8080 社内NW Burp Suite上で HTTPリクエスト の確認や、改竄ができる 5/26
6.
通常は下記のように診断しています。(HTTPレスポンス) Android/iPhoneの診断 Burp Suite:8080 社内NW Burp Suite上で HTTPレスポンス の確認や、改竄ができる 6/26
7.
Androidアプリの診断(問題発生前) いつものようにゲームアプリを診断していました。(SSL通信+Messagepack) ※特に問題なく進む… POST /api HTTP/1.1 Host:
stg.hoge.com Content-Type: application/x-msgpack User-Agent: Android ---略--- Content-Length: 530000 Connection: close {"postData": {"data": [“hogehoge”], "method": "fuga"}} 7/26
8.
iPhoneアプリの診断(問題発生) 対象ドメインの通信が取得できない… POST /api HTTP/1.1 Host:
stg.hoge.com Content-Type: application/x-msgpack User-Agent: IPhone ---略--- Content-Length: 530000 Connection: close {"postData": {"data": [“hogehoge”], "method": "fuga"}} 8/26
9.
深まる謎 ❏ iPhone版の診断対象のドメインだけ通信が拾えない ❏ iPhone版のゲームは正常にプレイできている ❏
Android版は全て通信が拾える ❏ Burp SuiteのSSL Path Throughにも登録されていない ❏ Burp SuiteのAlertsタブは特に反応しない 9/26
10.
さらに深まる謎 ❏ iPhoneのモバイルデータ通信をオフにしても拾えない ❏ Android端末のプロキシ設定はiptablesコマンドで設定 ❏
iPhone端末のプロキシ設定は下記で設定 ❏ 設定→Wi-Fi→無線LANの詳細→HTTPプロキシ(手動) ❏ サービス側に確認すると、下記の回答 ❏ Unityで開発しています ❏ Android/iOSともほぼ同じコードです ❏ 特別な対応はしていないのでUnity依存かもしれません 10/26
11.
❏ iPhoneのモバイルデータ通信をオフにしても拾えない ❏ Android端末のプロキシ設定はiptablesコマンドで設定 ❏
iPhone端末のプロキシ設定は下記で設定 ❏ 設定→Wi-Fi→無線LANの詳細→HTTPプロキシ(手動) ❏ サービス側に確認すると、下記の回答 ❏ Unityで開発しています ❏ Android/iOSともほぼ同じコードです ❏ 特別な対応はしていないのでUnity依存かもしれません ここに着目しました! 11/26
12.
解決案 iPhoneでもiptablesを 設定したらいけるのでは! 12/26
13.
iPhoneでiptablesコマンドがなくて震える ((((;゚Д゚))))ガクガクブルブル 13/26
14.
現実逃避 14/26
15.
現実逃避 15/26
16.
翌営業日 Macの機能を使って 解決できました! # インターネット共有 # パケットフィルタ 16/26
17.
解決方法(図解) 診断対象外URLの通信経路 社内NW Burp1:8081 PF (パケットフィルタ) リダイレクト設定 診断対象外:Burp1 診断対象外のSSL通信は全て SSL Path
Through に登録 非SSL通信はそのまま通す Mac Win 17/26
18.
解決方法(図解) 診断対象URLの通信経路 Burp3:8080 社内NW Burp2:8080 診断対象URLのみ Burp2→Burp3へ リダイレクト PF (パケットフィルタ) リダイレクト設定 診断対象 :Burp2 通常通り、Burp上で 診断対象のURLに対して脆弱性 診断が出来る Mac Win 18/26
19.
解決方法(設定) Mac Burp1:8081 を起動し、Proxy ->
Options の赤枠部分にチェックを入れる 19/26
20.
解決方法(設定) Mac Burp2:8080 を起動し、Proxy ->
Options -> Proxy Listener を設定 20/26
21.
解決方法(設定) Mac 有線LAN接続し、インターネット共有を設定 PF設定ファイルの作成(通信のリダイレクト先を指定する) PF設定の反映 rdr inet proto
tcp from any to port 80 -> 127.0.0.1 port 8080 rdr inet proto tcp from any to 診断対象のIPアドレス port 443 -> 127.0.0.1 port 8080 rdr inet proto tcp from any to any port 443 -> 127.0.0.1 port 8081 pf_burp.conf % sudo pfctl -ef pf_burp.conf 21/26
22.
解決方法(設定) Win Burp3:8080 を起動する MessagePack の
Extention を追加 ※実際にBurpを操作する端末 ※こちらの端末だけ Burp Suite Pro を使ってました 22/26
23.
解決方法(図解) 結果、この状態で診断できました。 Burp3:8080 社内NW Burp1:8081 Burp2:8080 診断対象URLのみ Burp2→Burp3へ リダイレクト リダイレクト設定 診断対象外:Burp1 診断対象 :Burp2 診断対象外のSSL通信は全て SSL Path
Through に登録 非SSL通信はそのまま通す PF (パケットフィルタ) 通常通り、Burp上で 診断対象のURLに対して脆弱性 診断が出来る Mac Win 23/26
24.
解決! 無事にiPhone版でも対象のURLが取得できました! POST /api HTTP/1.1 Host:
stg.hoge.com Content-Type: application/x-msgpack User-Agent: IPhone ---略--- Content-Length: 530000 Connection: close {"postData": {"data": [“hogehoge”], "method": "fuga"}} 24/26
25.
まとめ ❏ Macでインターネット共有とパケットフィルタを使うと通信が強 制的に取れる ❏ 泡盛飲んで寝たら解決できるかもしれない(できないかもしれない) ❏
参考リンク ❏ PF 設定方法 ❏ http://qiita.com/watarin/items/ca845c95843c5a52a7a6 ❏ http://ftp.tuwien.ac.at/.vhost/www.openbsd.org/xxx/faq/pf/ja/rdr.html ❏ MessagePack の Extension ❏ http://io.cyberdefense.jp/entry/2016/05/13/Burp_Extension%E9%96%8B%E7%99%BA_-_MessagePack 25/26
26.
ご清聴ありがとうございました。 26/26
Download now