体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

徳丸 浩

ソフトバンククリエイティブ 2011-03-03

by G-Tools , 2011/03/16

読んだ、めっちゃ良い本。
是非いろんなところで教科書に使うべき。

内容はもちろん、付録のCDで実際に脆弱性を体験できるのも◎。
ただ、残念ながらWindows前提。
実習の為にわざわざWindowsを動かすのも面倒なのでmacでやってみよう、
というのが、今日の話。

VMを動かす

付録CDに入っている仮想マシンはWindowsのVMware Playerでの利用を想定されていますが、

Mac OS X上のVMware Fusion 3.1.2でも動作することを確認しています。（P.11）

とのことなので、これは問題ないはずです。
やってみます。

ダウンロード

VMware Fusionのサイトから30日無償評価版をダウンロード可能です。
メールアドレス登録要。
※ 買う場合はサポートレスライセンスってやつが安いらしいです。（僕も検討中です。）

インストール

登録したアドレスに送られてくるメールのリンク先からダウンロードします。
インストールの際、その画面に表示されているシリアルナンバーが必要です。

起動

WASBOOK.ZIP内のwasbook.vmxをダブルクリック。
あとは本の通りですね。
（キー操作は違いますがそこは適宜ぐぐって下さい。）

Fiddlerの代わりを探す

#wasbook ではローカルプロキシのFiddlerを使って、
HTTPパケットの中身を見ながら勉強していきます。

ただ、このFiddler、WIndow専用です。
というわけで代わりを探しましょう。

Wireshark

ご存知パケットキャプチャ。ただ勉強に使うにはちょっと敷居が高い（そんなこともないけど）ので除外します。

Charles

インストールするだけで手軽に使える。情報も見やすい。
有料（$50。30分だけ試用可能？）

HttpFox

Firefox Add-on。Firefox使ってるなら手軽で良い。

Tamper Data

同じくFirefox用。お好きな方をどうぞ。

Paros

Javaアプリ。2006年製、古い。
buildディレクトリで「ant」と打てばparosディレクトリができる。
「cd paros」「chmod +x startserver.sh」して「./startserver.sh」で起動。
あとはブラウザのProxyに「localhost:8080」を設定すればOK。
※ 参考：ふるかわごうのブログ: ParosでHTTPキャプチャ on Mac

Burp Proxy

有料だけど今回の用途にはfree版で十分。
burpsuite_v1.3.03.jarを起動して、ブラウザのProxyを「localhost:8080」にすればOK。
※ 普段はproxy→interceptからintercept is offにしておいた方が楽。

結論

ブラウザ拡張あるならそれ使え。（楽だから）

まとめ

一応環境はできました。
でもよく考えたらIEもないと意味ないですね^^;

<2011/03/17 21:40 追記>
誤解を招きそうなので補足。
本書は脆弱性を生む原理を丁寧に解説した本なので、もちろんIEがなくても実習できます！
ただ、一部IE特有のバグも扱っているのでそれを体感したいときはIEが必要です。
</追記>

mac用の古いIEは、evolt.org - Browser Archiveからダウンロードできますが…。
（5.2.3は一応snow leopardでも動きました）

ie4macって使えるのかなぁ？

以上。macでもセキュリティを勉強しよう！！