はじめに
BurpSuite, ZAP, Fiddler は、SSL の通信を解読しながら転送するプロキシツールで、デバグ/セキュリティ診断で使われている
トラップ(通信を一旦停止して、デスクトップ上に編集可能な状態で表示する)の設定について
BurpSuiteの場合
このあたりで、どのようなリクエスト(拡張子が画像とかは無視とか、特定のWebサイトだけトラップするようにする(Scopeの設定)とか)
BurpSuiteの場合は「Intercept」という。これが「On」でトラップ。「Off」でスルー。
トラップした通信は「Forward」で転送される
ZAPの場合
ZAPの場合は「ブレークポイント」という。
これでトラップできる状態にしたりスルーする状態にしたりする。
こちらの再生ボタンで、転送される。
Parosの場合
Parosの場合「トラップ」という。
トラップするかどうかの設定をして、トラップしたデータを転送(「Continue」)するボタン。
そんな感じ
Fiddlerの場合
Fiddlerの場合は「ブレークポイント」という。
「Before Requests」つまり、リクエストを転送する前にブレークポイントを設定すれば、トラップできるようになる。
「After Response」は「レスポンスを受信した後」なので、レスポンスの転送前にトラップできるようになる。
通信のリストをクリックすると、右ペインの上部がリクエスト。下部がレスポンス。
リクエストの「Raw」が馴染みのある感じかな。
「Break on Response」は、このリクエストのレスポンスを急遽トラップ。
「Run to Completion」は、このまま通信を完成させる。