[Owasp-japan] 【JFYI】JRE を使用している local proxy の起動オプションについて

Toshiboumi Ohta ohta @ securesky-tech.com
2014年 12月 3日 (水) 00:53:00 UTC


太田@セキュアスカイ・テクノロジー です

 先日の投稿の「落穂ひろい」をやっておきます。

 先ほど気が付いたのですが、最近の Burp Suite は 

  『64bit 版の JRE でないとヤダ!』

と、ゴネてくださりやがるようです。アラートの
のたまうところによりますと一部の機能が使えない
のだそうな。

 …と、いうことで、起動コマンドラインは以下の
ように変更となりました。

"C:\Program Files\Java\jre1.8.0_25\bin\javaw.exe" -Djsse.enableSNIExtension=false -Xmx1024m -jar \Users\ohta\Documents\burpsuite\burpsuite_pro_v1.6.09.jar

以上、よろしくお願いいたします。

On Mon, 1 Dec 2014 11:53:59 +0900
Toshiboumi Ohta <ohta @ securesky-tech.com> wrote:

> ML 参加者各位
> 
> 太田@セキュアスカイ・テクノロジー です
> 
> # facebook のグループに情報提供として投稿したところ、
> # ML にも投げるようリクエストをいただきましたので、
> # 以下に情報共有させていただきます
> 
>  先日の OWASP アジアツアー 開催時に、twitter の中で
> 
> 「一部の Web サイトで burpSuite や ZAP で https が
>  うまくつながらない事がある」
> 
> という話題が出ていました。
> 
>  この問題は、おそらく最近の JRE のバージョンアップの際に
>  SNI Extension の実装がされたことが原因と思われます。
> 
>  具体的には、Webアプリケーション側で https の SNI 実装
> が甘いサイトへ接続しようとすると、JRE として https の
> セッションを開始しないわけです。
> 
>  本来は、SNI Extension として正しい挙動をしているわけです
> が、このままでは local proxy が使えないことになってしまう
> ので、以下のサンプルのように CLI でオプション指定して、
> SNI Extension を抑止した状態で local proxy を起動することで、
> この問題を回避することができます。
> 
> "\Program Files (x86)\Java\jre7\bin\javaw.exe" -Djsse.enableSNIExtension=false -Xmx1024m -jar \Users\whereYouLive\Documents\burpsuite\burpsuite_pro_v1.6.09.jar
> 
>  上記「-Djsse.enableSNIExtension=false」が SNI Extension 
> を抑止するオプションパラメータとなります。このサンプルは burpSuite
> での例となっていますが、ZAP の場合でも同様の設定ができると思います。
> 
> 以上、よろしくお願いします。
> 
> -- 
> Toshiboumi Ohta <ohta @ securesky-tech.com>
>  Secure Sky Technology Inc.
>   PMO Tsukasamachi 2F, 2-18-1, Tsukasamachi,
>   Chiyoda-ku, Tokyo, Japan  / 101-0048


-- 
Toshiboumi Ohta <ohta @ securesky-tech.com>
 Secure Sky Technology Inc.
  PMO Tsukasamachi 2F, 2-18-1, Tsukasamachi,
  Chiyoda-ku, Tokyo, Japan  / 101-0048


More information about the Owasp-japan mailing list