[Owasp-japan] 【JFYI】JRE を使用している local proxy の起動オプションについて

Yuh0 Kameda yuho.kameda @ owasp.org
2014年 12月 1日 (月) 06:29:28 UTC


太田様
OWASP JAPANの皆様

亀田です。

起動オプションの件、共有頂いた事象を元に
OWASP ZAPにて確認した結果を共有します。

結論としては、現在のVer2.3.1では本エラーが発生していましたが、
海外コミュニティで指摘され、8月にパッチが充てられチケットがクローズされていました。
次期Ver2.4の先行版となるWeekly版(ZAP Weekly)では、通信が成功し違和感なく使用できることを確認済みです。

また、Ver2.3.1においてもzap.batに「-Djsse.enableSNIExtension=false」を追加して動作確認出来ました。

---------------------------------------------
・[参考情報]Java - HTTPS通信が失敗するようになる: javax.net.ssl.SSLProtocolException:
handshake alert: unrecognized_name
http://d.hatena.ne.jp/ttshiko/20121103/1351927402
本事象の参考になった記事です。

・ZAPコミュニティのディスカッション
Having problem with secure login
https://groups.google.com/forum/#!topic/zaproxy-users/Y2YkRPPNi8E
---------------------------------------------

以上、よろしくお願いいたします。


2014-12-01 11:53 GMT+09:00 Toshiboumi Ohta <ohta @ securesky-tech.com>:

> ML 参加者各位
>
> 太田@セキュアスカイ・テクノロジー です
>
> # facebook のグループに情報提供として投稿したところ、
> # ML にも投げるようリクエストをいただきましたので、
> # 以下に情報共有させていただきます
>
> 先日の OWASP アジアツアー 開催時に、twitter の中で
>
> 「一部の Web サイトで burpSuite や ZAP で https が
> うまくつながらない事がある」
>
> という話題が出ていました。
>
> この問題は、おそらく最近の JRE のバージョンアップの際に
>  SNI Extension の実装がされたことが原因と思われます。
>
> 具体的には、Webアプリケーション側で https の SNI 実装
> が甘いサイトへ接続しようとすると、JRE として https の
> セッションを開始しないわけです。
>
> 本来は、SNI Extension として正しい挙動をしているわけです
> が、このままでは local proxy が使えないことになってしまう
> ので、以下のサンプルのように CLI でオプション指定して、
> SNI Extension を抑止した状態で local proxy を起動することで、
> この問題を回避することができます。
>
> "\Program Files (x86)\Java\jre7\bin\javaw.exe"
> -Djsse.enableSNIExtension=false -Xmx1024m -jar
> \Users\whereYouLive\Documents\burpsuite\burpsuite_pro_v1.6.09.jar
>
> 上記「-Djsse.enableSNIExtension=false」が SNI Extension
> を抑止するオプションパラメータとなります。このサンプルは burpSuite
> での例となっていますが、ZAP の場合でも同様の設定ができると思います。
>
> 以上、よろしくお願いします。
>
> --
> Toshiboumi Ohta <ohta @ securesky-tech.com>
>  Secure Sky Technology Inc.
>   PMO Tsukasamachi 2F, 2-18-1, Tsukasamachi,
>   Chiyoda-ku, Tokyo, Japan  / 101-0048
> _______________________________________________
> Owasp-japan mailing list
> Owasp-japan @ lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-japan
>
-------------- next part --------------
HTML$B$NE:IU%U%!%$%k$rJ]4I$7$^$7$?(B...
URL: <http://lists.owasp.org/pipermail/owasp-japan/attachments/20141201/9d74cfe2/attachment-0001.html>


More information about the Owasp-japan mailing list