Sono disponibili strumenti gratuiti che consentono di intercettare e modificare le richieste HTTP per test?
Sto cercando strumenti che mi permettano di inviare intestazioni HTTP personalizzate.
Come accennato in precedenza, esistono numerosi proxy HTTP che consentono di intercettare e modificare richieste e risposte.
Ecco un elenco di quelli che conosco:
Se desideri scrivere il tuo proxy di intercettazione, potresti dare un'occhiata a OWASP Proxy, una libreria Java che implementa tutte le funzionalità del protocollo HTTP necessarie, quindi non devi.
Qualche tempo fa ho utilizzato il componente aggiuntivo Tamper Data per Firefox e l'ho trovato essere abbastanza efficace Ha alcune buone caratteristiche come essere in grado di scegliere quali richieste si desidera manomettere e ha anche alcuni exploit predefiniti che è possibile utilizzare per popolare i valori del campo con.
Il rutto ora oscilla. Portswigger ha fatto degli eccellenti sviluppi negli ultimi 2 anni. Dal sito web , Burp può:
E raccomanderei sicuramente l'intera suite di burp!
Puoi utilizzare l'add-on di Firefox Intestazioni HTTP live in modo da poter visualizzare e riproducili.
Paros e Burp sono le 2 opzioni open source più comuni. È disponibile anche una versione commerciale di Burp. Sono entrambi scritti in Java.
Il proxy per il debug HTTP Fiddler esiste da anni e viene mantenuto attivamente. Permette l'intercettazione e la modifica del traffico, l'elaborazione di richieste personalizzate, richieste di riproduzione, ed è completamente programmabile ed estensibile. È uno strumento solo per Windows.
Ha anche estensioni per test di sicurezza passivi e attivi. Disclaimer - I co-authored quelli.
Paros Proxy e Burp funzionano entrambi come proxy, consentendo di intercettare e modificare richieste e risposte HTTP.
Ho usato Paros, webscarab e burp in modo estensivo e il rutto vince a mani basse. C'è una versione gratuita, ma la versione completa è anche un ottimo valore a £ 150 / anno.
In rare occasioni, ho dovuto usare wfetch (un altro scarica da MS), per gestire raw bytage sul flusso HTTP. Il problema specifico è che quasi tutti gli altri strumenti, in particolare i proxy e i plug-in del browser, codificano necessariamente gli URL di tutti i caratteri non stampabili ... e, a volte, vuoi davvero inviare quel chr (9) ....
Mi piace il proxy MITM: link
(Attenzione, c'è un altro progetto con lo stesso nome.)
Ha un'interfaccia molto snella (sembra ncurses), se ti piace quel genere di cose. Ha le stesse capacità di cattura / visualizzazione / modifica / riproduzione di molti altri, ma è molto intuitivo per la tastiera. Può anche proxy connessioni SSL!
Solo per aggiungere (come sembra essersi perso finora) che se stai usando Firefox, c'è una raccolta chiamata "Samurai Web Testing Framework" creata da Raul Siles che viene fornita con tutti i fantastici plugin relativi a webapp-sec inclusi nella raccolta - link .
Leggi altre domande sui tag http tools appsec penetration-test