バックエンド & 結合
アプリが直接つないでプロキシを飛ばす、HTTPSは暗号文の壁、フロントとバックが1つのフィールドを巡ってお互いのせいにし、リクエストを目視で見比べている。
直接通信をNICキャプチャ → 自動で復号 → 2つのリクエストを行単位で差分表示し、データの問題か表示の問題かを切り分け → コードを生成してプロジェクトに貼り戻す。
バックエンド連携、モバイルデバッグ、セキュリティテスト、負荷試験、プロトコル開発、キャプチャと復号など、それぞれの作業に対応する解決策があります
アプリが直接つないでプロキシを飛ばす、HTTPSは暗号文の壁、フロントとバックが1つのフィールドを巡ってお互いのせいにし、リクエストを目視で見比べている。
直接通信をNICキャプチャ → 自動で復号 → 2つのリクエストを行単位で差分表示し、データの問題か表示の問題かを切り分け → コードを生成してプロジェクトに貼り戻す。
アプリのHTTPSは全部暗号文、ピンニング済み証明書が本文をブロック、iOSや最近のAndroidでは証明書のインストールがいつも失敗する。
アプリ内部から平文を読む → iOSは脱獄不要、Androidは証明書のインストール不要 → ピンニングに阻まれず、本文がそこにある。
ドキュメントのない外部サービスと連携中で、何を送ればいいのか、何が返ってくるのかわからない。
実際のトラフィックをキャプチャして復号 → リクエストとレスポンスのすべてのフィールドを読む → OpenAPI仕様に変換してクライアントコードを生成。
デバイスやサービスが独自のバイナリプロトコルを話し、キャプチャはフレーム構造の見えないノイズの壁になる。
短いスクリプトでフレーミングを宣言 → 独自プロトコルが構造化されたフィールドに復元される → フレーム単位で実装を確認。
アプリやクライアントが機微なデータを平文で送っていないか、サーバーが改ざんされたパラメータを受け入れないかを確かめたい。
中間で傍受 → ブレークポイントでリクエストを変更し、サーバーの応答を観察 → ホストの調書で証明書グレードと技術スタックを読み、リスクを洗い出す。
手元にあるのはドメインかIPが1つだけ。背後にどんなサービスがあるのか、判断するには情報が少なすぎる。
ホストの調書で所有者、A〜Fの証明書グレード、技術スタックを把握 → サブドメイン探索とポートスキャン → 資産の全体像を埋めていく。
キャプチャと負荷試験が別々のツールで、署名やタイムスタンプ付きのAPIは直接テストできない。
右クリックで「このリクエストを負荷試験」 → 署名やタイムスタンプが動的な値から再計算されるので、そのまま実行できる → 低く偽らない末尾レイテンシの数値。
2G、パケットロス、高遅延でアプリがどう振る舞うか見たいが、その環境を用意するのが面倒。
ワンクリックの低速回線プリセット → 遅延を加え、帯域を絞り、パケットを落とす → 悪い回線でアプリが実際どう反応するか確認。
タイムアウト、パケットロス、出たり出なかったりする速度。ログを見ても、どこに問題があるのかわからない。
ハンドシェイクと再送をパケット単位で読む → プロトコルツリーがDNS、TCP、アプリ層のどこかを特定 → コネクション表でどのプロセスがどこにつないでいるかを表示。
システムアプリや頑固なアプリがプロキシを通さず注入もブロックし、通信路には暗号文しか残らない。
システムレベルキャプチャが下層から平文を読む → あるいは対象プログラムだけを単独でキャプチャ → 他のツールが届かないところに、届く。