Come posso intercettare e modificare le richieste HTTP?

Sono disponibili strumenti gratuiti che consentono di intercettare e modificare le richieste HTTP per test?

Sto cercando strumenti che mi permettano di inviare intestazioni HTTP personalizzate.

    
posta James T 12.11.2010 - 14:41
fonte

13 risposte

Personalmente parlo con Fiddler, un download gratuito da MS.
Ci sono molti altri proxy http interattivi decenti, ma quello mi serve meglio.

    
risposta data 12.11.2010 - 14:44
fonte

Come accennato in precedenza, esistono numerosi proxy HTTP che consentono di intercettare e modificare richieste e risposte.

Ecco un elenco di quelli che conosco:

  • WebScarab (dichiarazione di non responsabilità: l'ho scritto)
  • Paro
  • Burp
  • ZAP (Z Attack Proxy - una versione aggiornata di Paros)
  • Fiddler / Fiddler2
  • Achille
  • HTTPush
  • Esodo (disclaimer: l'ho scritto ed è molto vecchio)

Se desideri scrivere il tuo proxy di intercettazione, potresti dare un'occhiata a OWASP Proxy, una libreria Java che implementa tutte le funzionalità del protocollo HTTP necessarie, quindi non devi.

    
risposta data 19.11.2010 - 07:45
fonte

Qualche tempo fa ho utilizzato il componente aggiuntivo Tamper Data per Firefox e l'ho trovato essere abbastanza efficace Ha alcune buone caratteristiche come essere in grado di scegliere quali richieste si desidera manomettere e ha anche alcuni exploit predefiniti che è possibile utilizzare per popolare i valori del campo con.

    
risposta data 12.11.2010 - 14:46
fonte

Il rutto ora oscilla. Portswigger ha fatto degli eccellenti sviluppi negli ultimi 2 anni. Dal sito web , Burp può:

  • Intercetta e modifica tutto HTTP / S traffico che passa in entrambe le direzioni.
  • Analizza facilmente tutti i tipi di contenuti, con colorizzazione automatica della richiesta e sintassi di risposta, rendering di web contenuto e analisi della serializzazione schemi come AMF.
  • Applica le regole a grana fine per determinare quali sono le richieste e le risposte intercettato per il test manuale.
  • Visualizza tutto il traffico nel dettaglio cronologia del proxy, con filtri avanzati e funzioni di ricerca.
  • Invia oggetti interessanti ad altri Burp Strumenti di Suite con un solo clic.
  • Salva tutto il tuo lavoro e riprendi lavorando più tardi.
  • Cerca ed evidenzia rapidamente contenuto interessante all'interno di HTTP messaggi.
  • Funziona con certificati SSL personalizzati e client non proxy-aware.
  • Definisci regole da modificare automaticamente richieste e risposte senza manuale intervento.

E raccomanderei sicuramente l'intera suite di burp!

    
risposta data 07.12.2010 - 00:17
fonte

Puoi utilizzare l'add-on di Firefox Intestazioni HTTP live in modo da poter visualizzare e riproducili.

    
risposta data 12.11.2010 - 14:42
fonte

Paros e Burp sono le 2 opzioni open source più comuni. È disponibile anche una versione commerciale di Burp. Sono entrambi scritti in Java.

    
risposta data 18.11.2010 - 22:10
fonte

Il proxy per il debug HTTP Fiddler esiste da anni e viene mantenuto attivamente. Permette l'intercettazione e la modifica del traffico, l'elaborazione di richieste personalizzate, richieste di riproduzione, ed è completamente programmabile ed estensibile. È uno strumento solo per Windows.

Ha anche estensioni per test di sicurezza passivi e attivi. Disclaimer - I co-authored quelli.

    
risposta data 06.12.2010 - 19:45
fonte

Paros Proxy e Burp funzionano entrambi come proxy, consentendo di intercettare e modificare richieste e risposte HTTP.

    
risposta data 15.11.2010 - 02:20
fonte

Owasp ha rilasciato uno strumento chiamato Web Scarab

    
risposta data 20.11.2010 - 14:29
fonte

Ho usato Paros, webscarab e burp in modo estensivo e il rutto vince a mani basse. C'è una versione gratuita, ma la versione completa è anche un ottimo valore a £ 150 / anno.

    
risposta data 18.11.2010 - 22:27
fonte

In rare occasioni, ho dovuto usare wfetch (un altro scarica da MS), per gestire raw bytage sul flusso HTTP. Il problema specifico è che quasi tutti gli altri strumenti, in particolare i proxy e i plug-in del browser, codificano necessariamente gli URL di tutti i caratteri non stampabili ... e, a volte, vuoi davvero inviare quel chr (9) ....

    
risposta data 12.11.2010 - 14:47
fonte

Mi piace il proxy MITM: link

(Attenzione, c'è un altro progetto con lo stesso nome.)

Ha un'interfaccia molto snella (sembra ncurses), se ti piace quel genere di cose. Ha le stesse capacità di cattura / visualizzazione / modifica / riproduzione di molti altri, ma è molto intuitivo per la tastiera. Può anche proxy connessioni SSL!

    
risposta data 18.05.2012 - 03:47
fonte

Solo per aggiungere (come sembra essersi perso finora) che se stai usando Firefox, c'è una raccolta chiamata "Samurai Web Testing Framework" creata da Raul Siles che viene fornita con tutti i fantastici plugin relativi a webapp-sec inclusi nella raccolta - link .

    
risposta data 18.05.2012 - 11:51
fonte

Leggi altre domande sui tag