自動巡回ではなく手動巡回
顧客環境へ勝手にスキャンをかける設計ではありません。許可された操作を人が進め、その操作とrequestを結び付けます。
Documentation
Getting Started
Target Makerを使い始めるための最初のページです。配布物の取得、Applicationsへの配置、Webログイン、初回セットアップへの流れを確認します。
Target Makerで行うこと
Target Makerは、診断者が手動巡回したWebアプリのHTTP requestを集め、対象候補へ整理し、優先度、対象名、対象遷移を付けてExcelへ出力するデスクトップアプリです。
Burpと併用できる
live収集だけでなく、BurpのHTTP history XMLを取り込み、候補生成や差分確認に使えます。
最後はレビューして出す
候補一覧で採否、優先度、対象名、対象遷移を確認し、採用分だけをExcelへ出力します。
配布は招待制
Downloadsは組織へ追加済みのユーザー向けです。未招待の場合は導入相談から開始します。
インストール
招待済みユーザーはWebへログイン後、Downloadsから利用環境向けの最新リリースを取得します。
- 1. Downloads を開きます。
- 2. macOS DMGを取得します。
- 3. DMGを開き、target-maker.appをApplicationsへコピーします。
- 4. 既存アプリがある場合は置き換えます。
初回起動で確認すること
Account
Webログイン
アプリ右上のログイン、または設定のAccountからWeb認証を開始します。
Certificate
証明書設定
HTTPS収集のため、Target MakerのCA証明書をloginキーチェーンへ導入します。
Proxy
Chrome proxy
巡回に使うChromeのproxy設定を127.0.0.1:19090へ向けます。
Extension
Chrome拡張
Local APIとAPI TokenをChrome拡張のOptionsへ保存し、巡回もChromeで行います。
次に読むページ
初回起動後は、詳しい証明書・proxy・Chrome拡張の設定へ進みます。
- Desktop
- v0.1.4
- Chrome extension
- 0.1.1
- Bundle ID
- com.targetmaker.desktop
- Local API
- 127.0.0.1:42731
- Embedded proxy
- 127.0.0.1:19090