Come posso intercettare e modificare le richieste HTTP?

Personalmente parlo con Fiddler, un download gratuito da MS.
Ci sono molti altri proxy http interattivi decenti, ma quello mi serve meglio.

Come accennato in precedenza, esistono numerosi proxy HTTP che consentono di intercettare e modificare richieste e risposte.

Ecco un elenco di quelli che conosco:

• WebScarab (dichiarazione di non responsabilità: l'ho scritto)
• Paro
• Burp
• ZAP (Z Attack Proxy - una versione aggiornata di Paros)
• Fiddler / Fiddler2
• Achille
• HTTPush
• Esodo (disclaimer: l'ho scritto ed è molto vecchio)

Se desideri scrivere il tuo proxy di intercettazione, potresti dare un'occhiata a OWASP Proxy, una libreria Java che implementa tutte le funzionalità del protocollo HTTP necessarie, quindi non devi.

Qualche tempo fa ho utilizzato il componente aggiuntivo Tamper Data per Firefox e l'ho trovato essere abbastanza efficace Ha alcune buone caratteristiche come essere in grado di scegliere quali richieste si desidera manomettere e ha anche alcuni exploit predefiniti che è possibile utilizzare per popolare i valori del campo con.

Il rutto ora oscilla. Portswigger ha fatto degli eccellenti sviluppi negli ultimi 2 anni. Dal sito web , Burp può:

• Intercetta e modifica tutto HTTP / S traffico che passa in entrambe le direzioni.
• Analizza facilmente tutti i tipi di contenuti, con colorizzazione automatica della richiesta e sintassi di risposta, rendering di web contenuto e analisi della serializzazione schemi come AMF.
• Applica le regole a grana fine per determinare quali sono le richieste e le risposte intercettato per il test manuale.
• Visualizza tutto il traffico nel dettaglio cronologia del proxy, con filtri avanzati e funzioni di ricerca.
• Invia oggetti interessanti ad altri Burp Strumenti di Suite con un solo clic.
• Salva tutto il tuo lavoro e riprendi lavorando più tardi.
• Cerca ed evidenzia rapidamente contenuto interessante all'interno di HTTP messaggi.
• Funziona con certificati SSL personalizzati e client non proxy-aware.
• Definisci regole da modificare automaticamente richieste e risposte senza manuale intervento.

E raccomanderei sicuramente l'intera suite di burp!

Puoi utilizzare l'add-on di Firefox Intestazioni HTTP live in modo da poter visualizzare e riproducili.

Paros e Burp sono le 2 opzioni open source più comuni. È disponibile anche una versione commerciale di Burp. Sono entrambi scritti in Java.

Il proxy per il debug HTTP Fiddler esiste da anni e viene mantenuto attivamente. Permette l'intercettazione e la modifica del traffico, l'elaborazione di richieste personalizzate, richieste di riproduzione, ed è completamente programmabile ed estensibile. È uno strumento solo per Windows.

Ha anche estensioni per test di sicurezza passivi e attivi. Disclaimer - I co-authored quelli.

Paros Proxy e Burp funzionano entrambi come proxy, consentendo di intercettare e modificare richieste e risposte HTTP.

Owasp ha rilasciato uno strumento chiamato Web Scarab

Ho usato Paros, webscarab e burp in modo estensivo e il rutto vince a mani basse. C'è una versione gratuita, ma la versione completa è anche un ottimo valore a £ 150 / anno.

In rare occasioni, ho dovuto usare wfetch (un altro scarica da MS), per gestire raw bytage sul flusso HTTP. Il problema specifico è che quasi tutti gli altri strumenti, in particolare i proxy e i plug-in del browser, codificano necessariamente gli URL di tutti i caratteri non stampabili ... e, a volte, vuoi davvero inviare quel chr (9) ....

Mi piace il proxy MITM: link

(Attenzione, c'è un altro progetto con lo stesso nome.)

Ha un'interfaccia molto snella (sembra ncurses), se ti piace quel genere di cose. Ha le stesse capacità di cattura / visualizzazione / modifica / riproduzione di molti altri, ma è molto intuitivo per la tastiera. Può anche proxy connessioni SSL!

Solo per aggiungere (come sembra essersi perso finora) che se stai usando Firefox, c'è una raccolta chiamata "Samurai Web Testing Framework" creata da Raul Siles che viene fornita con tutti i fantastici plugin relativi a webapp-sec inclusi nella raccolta - link .