it-swarm-tr.com

HTTP isteklerini nasıl kesebilir ve değiştirebilirim?

Test için HTTP isteklerini durdurup değiştirmeme izin veren ücretsiz araçlar var mı?

Özel HTTP başlıkları göndermeme izin veren araçlar arıyorum.

15
James T

Ben şahsen Fiddler, MS ücretsiz bir download kısmi duyuyorum.
Diğer birçok iyi etkileşimli http proxy var, ama bu bana en iyi hizmeti veriyor.

16
AviD

Yukarıda belirtildiği gibi, istekleri ve yanıtları durdurmaya ve değiştirmeye izin veren bir dizi HTTP proxy'si vardır.

İşte tanıdığımların listesi:

  • WebScarab (feragatname: Yazdım)
  • Paros
  • Geğirmek
  • ZAP (Z Attack Proxy - Paros'un güncellenmiş bir sürümü)
  • Fiddler/Fiddler2
  • Aşil
  • HTTPush
  • Çıkış (feragatname: Yazdım ve gerçekten eski)

Kendi ele geçirme proxy'nizi yazmak istiyorsanız, gerekli tüm HTTP protokol işlevlerini uygulayan bir Java kitaplığı) OWASP Proxy'ye göz atmak isteyebilirsiniz.

11
Rogan Dawes

Bir süre önce Tamper Data Firefox Eklentisini kullandım ve oldukça etkili buldum. Hangi istekleri kurcalamak istediğinizi seçebilme gibi bazı iyi özelliklere sahiptir ve ayrıca alan değerlerini doldurmak için kullanabileceğiniz önceden tanımlanmış bazı istismarlara sahiptir.

alt text

10
Mark Davidson

Geğirmek şimdi sallanıyor. Portswigger son 2 yılda mükemmel gelişmeler kaydetti. web sitesi , Burp şunları yapabilir:

  • Her iki yönde geçen tüm HTTP/S trafiğini durdurun ve değiştirin.
  • İstek ve yanıt sözdiziminin otomatik renklendirilmesi, web içeriğinin oluşturulması ve AMF gibi serileştirme planlarının ayrıştırılmasıyla her türlü içeriği kolayca analiz edin.
  • Manuel test için hangi isteklerin ve yanıtların engellendiğini belirlemek için ayrıntılı kurallar uygulayın.
  • Gelişmiş filtreler ve arama işlevleriyle ayrıntılı proxy geçmişindeki tüm trafiği görüntüleyin.
  • Tek bir tıklama ile diğer Burp Suite araçlarına ilginç öğeler gönderin.
  • Tüm çalışmalarınızı kaydedin ve daha sonra çalışmaya devam edin.
  • HTTP iletilerindeki ilginç içerikleri hızla arayın ve vurgulayın.
  • Özel SSL sertifikaları ve proxy uyumlu olmayan istemcilerle çalışın.
  • Manuel müdahale olmadan istekleri ve yanıtları otomatik olarak değiştirmek için kurallar tanımlayın.

Ve kesinlikle tüm geğirmek suite tavsiye ederim!

6
Rory Alsop

Firefox eklentisini Canlı HTTP Üstbilgileri kullanabilirsiniz, böylece görüntüleyebilir ve tekrar oynatabilirsiniz.

4
James T

Paros ve Burp en yaygın 2 açık kaynak seçeneğidir. Burp'un ticari bir versiyonu da mevcut. Her ikisi de Java ile yazılmıştır.

3
chs

Fiddler HTTP hata ayıklama proxy yıllardır var ve aktif olarak korunuyor. Trafiğin durdurulmasına ve değiştirilmesine, özel isteklerin hazırlanmasına, isteklerin tekrarlanmasına izin verir ve tamamen yazılabilir ve genişletilebilir. Yalnızca Windows için kullanılan bir araçtır.

Ayrıca pasif ve aktif güvenlik testi için zantılar vardır. Feragatname - Bunları birlikte yazdım.

3
Weber

Owasp Web Scarab adlı bir araç yayınladı

2
Lareau

Paros Proxy ve Burp, her ikisi de proxy olarak işlev görür ve HTTP isteklerini ve yanıtlarını engellemenizi ve değiştirmenizi sağlar.

2
Crunge

Ben Paros, webscarab ve geğirmek yaygın kullandım ve geğirmek eller aşağı kazanır. Ücretsiz bir sürümü var, ancak tam sürüm de yılda 150 £ çok iyi bir değer.

1
David Taylor

MITM Proxy'yi seviyorum: http://mitmproxy.org/

(Dikkatli olun, aynı isimli başka bir proje daha var.)

Bu tür şeylerden hoşlanıyorsanız, gerçekten yalın, arayüzlere (ncurses'a benziyor) sahiptir. Diğerleri ile aynı yakalama/görüntüleme/düzenleme/tekrar oynatma özelliklerine sahiptir, ancak çok klavye dostudur. Ayrıca SSL bağlantılarını proxy yapabilir!

0
Mark E. Haase

Firefox'u kullanıyorsanız, koleksiyona dahil olan tüm harika webapp-sec ile ilgili tüm eklentilerle birlikte gelen Raul Siles tarafından oluşturulan "Samurai Web Test Framework" adında bir koleksiyon var. - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/ .

0
Mark Hillick

Nadiren, HTTP akışı üzerinden ham bytage işlemek için wfetch (MS'den başka bir ücretsiz download ) kullanmak zorunda kaldım. Özel sorun, neredeyse tüm diğer araçların, özellikle proxy'lerin ve tarayıcı eklentilerinin, yazdırılamayan karakterleri mutlaka URL kodlamasıdır ... ve bazen, gerçekten o chr (9) göndermek istiyorum ....

0
AviD