これまで: Burp の HTTP History を見ながら、対象リクエストを拾い出す
Target Maker: proxy収集とBurp XML取込を同じ案件に集約し、候補一覧へ反映する
Loading
ページを読み込み中です
最新の情報を取得しています。しばらくお待ちください。
Desktop v0.1.4Target Maker
Webアプリ診断の対象一覧を、手動巡回のrequestと操作遷移から作るデスクトップアプリです。Burp確認、Excel転記、遷移記載にかかる作業をレビュー中心の流れに変えます。
出力
Excel
優先度、URL、対象名、対象遷移
入力
Proxy + Burp
live収集とBurp XML取込
運用
Manual First
顧客環境へ自動巡回しない設計
Why Target Maker
対象作成の重い手作業を、レビューできる候補へ変換する。
Target Makerの主役は自動巡回ではありません。診断者が許可された範囲を手で巡回し、その行動から診断対象requestと対象遷移を作るための支援ツールです。
これまで: ExcelへURL、優先度、対象名、遷移を手で転記する
Target Maker: 候補をレビューして、採用分をそのままExcel出力する
これまで: どの操作で発生したrequestかを思い出しながら遷移を書く
Target Maker: ボタン名やリンク名をもとに、再現しやすい対象遷移を作る
Workflow
案件からExcelまで
案件を作成
対象ドメインと除外ドメインを登録し、対象作成の単位を決めます。
手動巡回を収集
embedded proxy、Chrome拡張、session bindで、ブラウザ操作とrequestを結び付けます。
Burpを取り込む
既存のHTTP history XMLを取り込み、live収集と同じ候補生成の材料にします。
候補をレビュー
採否、優先度、代表request、対象名、対象遷移を確認し、必要なところだけ直します。
Excelへ出力
診断で使う通常形式の対象一覧として、採用候補を出力します。
Output
診断に渡せる形式へ
MVPの出力は通常形式の対象一覧です。候補一覧で採用したrequestを、現場で扱いやすい列に整えて出力します。
優先度メソッドリクエストURL対象名対象遷移
Quality
遷移は「再現できること」を優先
対象遷移は画面名の羅列ではなく、押下するボタンやリンク名を中心に生成します。寄り道を外し、トップから最短でたどれる表現に寄せるのがアプリ側の設計思想です。
Capabilities
実装済みの中核機能
対象リクエストの自動抽出
GET / OPTIONS以外のmethod、パラメータ付きGET、状態変更GETを候補化し、静的資産や診断対象外requestを除外します。
重複整理と代表request
同種処理はまとめつつ、同一endpointでもaction差があるものは分けてレビューできます。
対象遷移の生成
トップから押下するボタンやリンク名をつなぎ、人間が再現しやすい表現へ寄せます。
Burp / Live差分の追跡
Burpにはあるがliveにないrequest、candidate化で落ちたrequestなどを追跡画面で確認できます。
ルール管理
プロジェクト単位の判定ルールを調整し、URLやrequest bodyを使って候補判定をテストできます。
配布とentitlement
Webログイン、組織ごとの利用状態、Downloadsからの手動更新に対応しています。
Start
まずは社内trialから
現在は招待制で配布し、Downloadsは組織へ追加済みのユーザー向けに公開しています。導入をご希望の場合は、まず利用範囲と配布方法をご相談ください。