2015/1/15 OWASP Night 15thで登壇した時の資料です。 パネルの途中で本田さんがご説明された「Fiddlerアドオンによる魔改造」のスライドは以下にて公開されております！ http://www.slideshare.net/hagurese/proxywariifiddleraddon

2. Profile(プロフィール)
とある診断員
Proxy三銃士
With

4. 前回までのあらすじ
Proxy三銃士による各Proxyのアピール合戦を開催！
そして最後に会場の皆さんに、一番使いたいと思うProxy
を選んでいただきました。
Fiddler
BurpSuite
OWASP ZAP
Fiddler
http://www.telerik.com/fiddler/web-
debugging
Burp Suite
http://portswigger.net/burp/
OWASP Zed Attack Proxy Project
https://www.owasp.org/index.php/OW
ASP_Zed_Attack_Proxy_Project
※ベンダのロゴは上記サイトから引用。

5. 各Proxyの比較-概要-
Fiddler Burp Suite OWASP ZAP
概要
シンプルな作りの、
Web開発者向けの
デバッグ用ツール
脆弱性診断を実施する
ための様々な機能が搭
載されている
脆弱性診断用の
ツールだが、どちら
かといえば自動診断
に特化
想定ユーザ
開発者 脆弱性診断員 脆弱性診断員
システム管理者

6. 各Proxyの比較-アピールポイントまとめ-
Fiddler Burp Suite OWASP ZAP
Usability
初心者に優しい利便性
• シンプルなUI
• インストール設定が易しい
• 日本語の資料が沢山
細かい所まで手が届く！
• 細かいショートカットキー設定
• 正規表現を利用した検索
非常にとっつき易いUI！
• 日本語対応
• ワンタッチで操作が可能な
アイコン表示や便利な機能
Features
作業効率を上げる様々な機
能が！
• Logging (ログ管理)
• Filters (各種フィルタ)
• AutoResponder
脆弱性診断に特化した便利
な機能が一杯！
• Intruder
• Repeater
• Macro
• Session Handling Rules
OSSであること、そしてス
キャナ機能が魅力的！
• 無償で動的スキャンが可能
• データはDB管理（HSQL）
Special
<魔>改造が可能な拡張機
能！
• Script Extension (スクリプト
拡張)
• Extension Architecture(拡
張アーキテクチャ)
「extender」による機能拡張
が可能！
• 「BApp Store」より拡張モ
ジュールをインストールも
様々な言語でのスクリプト
処理が可能！
数多くのコミュニティが存在
• 日本語コミュニティもできた
よ！

7. Winner is …

8. Congratulations!
OWASP ZAP

9. でも、、、

10. 俺達のProxy Warは
まだ終わらない！！

11. 今回のProxy Warは
「パネルディスカッション」

12. Starting a Discussion！

13. テーマ１：
『Proxy使っていてこんな所が非常に
困った。』

14. テーマ2：
『拡張機能について』

15. テーマ3：
『実際の現場ではどう使っているの？』

16. まとめ

17. Proxy Warの結果
• 各ツールに関する知識がより深まった！
• それぞれが持っているTipsなどを共有す
ることができた！
• 情報を発信することで色々な方の考えを
知ることができた！
• 理想のProxyツールについても議論する
ことができた！

18. いかがでしょうか？
情報共有・発信などについてはやはり
もっとやるべき。
是非ともProxy以外でも積極的にやっ
ていきましょう！

19. Enjoy Proxy Life !