[Owasp-japan] 【JFYI】JRE を使用している local proxy の起動オプションについて

Toshiboumi Ohta ohta @ securesky-tech.com
2014年 12月 1日 (月) 02:53:59 UTC


ML 参加者各位

太田@セキュアスカイ・テクノロジー です

# facebook のグループに情報提供として投稿したところ、
# ML にも投げるようリクエストをいただきましたので、
# 以下に情報共有させていただきます

 先日の OWASP アジアツアー 開催時に、twitter の中で

「一部の Web サイトで burpSuite や ZAP で https が
 うまくつながらない事がある」

という話題が出ていました。

 この問題は、おそらく最近の JRE のバージョンアップの際に
 SNI Extension の実装がされたことが原因と思われます。

 具体的には、Webアプリケーション側で https の SNI 実装
が甘いサイトへ接続しようとすると、JRE として https の
セッションを開始しないわけです。

 本来は、SNI Extension として正しい挙動をしているわけです
が、このままでは local proxy が使えないことになってしまう
ので、以下のサンプルのように CLI でオプション指定して、
SNI Extension を抑止した状態で local proxy を起動することで、
この問題を回避することができます。

"\Program Files (x86)\Java\jre7\bin\javaw.exe" -Djsse.enableSNIExtension=false -Xmx1024m -jar \Users\whereYouLive\Documents\burpsuite\burpsuite_pro_v1.6.09.jar

 上記「-Djsse.enableSNIExtension=false」が SNI Extension 
を抑止するオプションパラメータとなります。このサンプルは burpSuite
での例となっていますが、ZAP の場合でも同様の設定ができると思います。

以上、よろしくお願いします。

-- 
Toshiboumi Ohta <ohta @ securesky-tech.com>
 Secure Sky Technology Inc.
  PMO Tsukasamachi 2F, 2-18-1, Tsukasamachi,
  Chiyoda-ku, Tokyo, Japan  / 101-0048


More information about the Owasp-japan mailing list