Il mio cliente RESTful preferito è httpie (dai sorgenti Python). Scaricalo facilmente tramite easy_install httpie o pip install httpie . Ci sono alcuni client / debug di REST come componenti aggiuntivi di Firefox (cerca tramite addons.mozilla.org).
Mentre in una certa azienda, ricordo di aver usato una funzione di WebInspect chiamata "parametri personalizzati" contro RESTful Web Services, come la demo REST-WS in Maven Security Web Security Dojo macchina virtuale o l'uso di JAX-RS del progetto GoatDroid di OWASP. Se hai anche accesso al prodotto Fortify SecurityScope, puoi usarlo per creare automaticamente un WADL che a sua volta può essere consumato da WebInspect RT. Quando si testano app di grandi dimensioni (ad es. Più di due milioni di righe di codice), ciò può essere particolarmente utile: voce dell'esperienza qui.
Quando guardi il rapporto SecToolMarket , la maggior parte degli strumenti che hanno meno di 9 vettori di input non possono gestire molto bene i servizi Web RESTful, e anche il i migliori (Burp Suite Professional, NTOSpider, IBM Appscan, ecc.) non hanno un chiaro percorso per testare queste interfacce / API. Questo è spesso il motivo per cui vorresti usare uno strumento come httpie (o curl) attraverso di loro come un proxy di intercettazione, insieme alla documentazione API appropriata (probabilmente preferibilmente in formato WADL).