Utilizzo di un proxy per registrare le richieste di HTTP / s e la valutazione delle prestazioni

1

Devo leggere i messaggi http / https inviati da un sistema client e vedere che i messaggi non vengono modificati all'interno del sistema da alcun malware e il server riceve esattamente ciò che l'utente desidera inviare.

Ad esempio, un utente in una transazione bancaria online desidera inviare $ 100 all'account "A" e consente di dire che il messaggio è stato modificato da un programma spurio all'interno del sistema al di fuori della conoscenza dell'utente e lo invia come $ 1000, account " B 'prima di essere inviato al server attraverso la rete. Devo verificare i dettagli del messaggio prima che venga inviato al server.

Quindi voglio usare un Proxy per vedere quale richiesta viene inviata al Banking Server e mostrarla all'utente. Quindi l'utente osserva che è cambiato in B, $ 1000 e interrompe o uccide immediatamente la richiesta.

In questo modo voglio garantire l'integrità dei dettagli di una transazione sicura. Per questo motivo, ho bisogno di un Proxy che mi abbia fatto fare ricerche su di loro e di aver creato questi quattro proxy. Come io sono principiante in questo settore e non ne so molto. Vuoi sapere se qualcuno di questi proxy funziona o esiste un approccio migliore per capire il mio scopo.

Paros, versione gratuita di BURP, Webscarab, SQUID.

Se qualcuno ha un proxy più facile da usare e utile, non esitare a suggerirlo

Grazie, Pavan.

    
posta Pavan K 17.03.2014 - 22:37
fonte

2 risposte

2

Per rispondere alla domanda originale: OWASP ZAP: link È un fork di Paros, ma è stato aggiornato in modo significativo. È completamente gratuito, open source ed è stato votato lo strumento di sicurezza più popolare del 2013 dai lettori di ToolsWatch.org: link

OK, sono di parte, dato che sono il capo del progetto ZAP;)

    
risposta data 18.03.2014 - 19:12
fonte
1

Quindi chi garantirà la sicurezza della connessione al proxy? Mi sembra un problema di framing. Se ti assicuri di avere una buona implementazione TLS, puoi saltare il proxy e avere una crittografia end-to-end da client a server.

    
risposta data 17.03.2014 - 23:33
fonte

Leggi altre domande sui tag