DARK MATTER

CDI Engineer's Technical Blog

サーバがサポートする暗号化アルゴリズムをsslscanコマンドで確認する

HTTPS通信をBurpでうまく閲覧できない問題を解決する切り口の1つとして、サーバ側でサポートする暗号化アルゴリズムを把握することが挙げられます。 サーバがサポートする暗号化アルゴリズムを把握することで、例えば暗号化アルゴリズムの強度の制限による…

Burp Extension開発 - RESTfulアプリケーション対応

こんにちは。技術部エンジニアの松永です。 Burp Suite Japan(@BurpSuiteJapan)にて告知していました、HTTPリクエストのコピーツールを公開しましたので、簡単に紹介したいと思います。 Burp Extension 以下のGithubリポジトリで公開しています。https://git…

「You have limited key lengths available.」というエラーの対処方法

Oracle javaでBurpを起動してHTTPSのサイトを閲覧しようとすると、Alertタブに以下のメッセージが表示されて通信に失敗することがあります。 You have limited key lengths available. To use stronger keys, please download and install the JCE unlimited…

開発への取り組み

こんにちは。技術部エンジニアの松永です。 セキュリティ診断作業の傍らで、攻撃・解析ツールや診断システムなどの開発を行っています。 セキュリティは総合格闘技と評される通り、これらのツール開発の分野もWebやNetworkに始まり、PC・スマホアプリといっ…

Burp Extension開発 - MessagePack

こんにちは。技術部エンジニアの松永です。 PC・スマホアプリケーションや組込機器の脆弱性診断の現場では、クライアント(アプリや機器)とサーバー間の通信に Web API が使用されるケースによく遭遇します。 Web APIの診断には、弊社では主に Burp Suite P…

スマホへのBurpの証明書のインストール

弊社ではPC上のブラウザで表示するWebアプリケーションの診断だけでなく、iOSやAndroid端末上のネイティブアプリケーションが使用するWeb APIもよく診断しています。 診断に使用するProxyツールはPCと同様にBurp(Burp Suite)を使用しています。 対象のネイテ…

組込機器の診断を紹介 1/2

こんにちは。株式会社サイバーディフェンス研究所 技術部 手島と申します。 日頃は、Webサイトや組込機器に対してセキュリティ診断やペネトレーションテストを担当しています。 弊社の課題としてかねてから、社外のお客様や取引先より組込機器のセキュリティ…

株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.