Jak mohu zachytit a upravit požadavky HTTP?

Jak je uvedeno výše, existuje řada proxy HTTP, které umožňují zachycení a úpravu požadavků a odpovědí.

Zde je seznam těch, o kterých vím:

• WebScarab (vyloučení odpovědnosti: napsal jsem)
• Paros
• Říhnutí
• ZAP (Z Attack Proxy - aktualizovaná verze Paros)
• Šumař/Šumař2
• Achilles
• HTTPush
• Exodus (vyloučení odpovědnosti: napsal jsem to, a je to opravdu staré)

Pokud si přejete napsat vlastní zachycovací proxy, můžete se podívat na OWASP Proxy, knihovnu Java Java, která implementuje všechny potřebné funkce protokolu HTTP, takže nemusíte).

Před chvílí jsem použil Tamper Data Firefox Add-on a zjistil, že je docela efektivní. Má několik dobrých funkcí, jako je možnost vybrat, s jakými požadavky chcete manipulovat, a také má některé předdefinované exploitace, pomocí kterých můžete naplnit hodnoty polí.

Burp nyní skály. Portswigger učinil v posledních 2 letech vynikající vývoj. Z web může Burp:

• Zachyťte a upravte veškerý provoz HTTP/S procházející oběma směry.
• Snadno analyzujte všechny druhy obsahu, s automatickým zbarvením syntaxe požadavků a odpovědí, vykreslením webového obsahu a analýzou schémat serializace, jako je AMF.
• Pomocí jemnozrnných pravidel určete, které požadavky a odpovědi jsou zachyceny pro ruční testování.
• Zobrazit veškerý provoz v podrobné historii proxy, s pokročilými filtry a vyhledávacími funkcemi.
• Jedním kliknutím odešlete zajímavé položky do jiných nástrojů sady Burp Suite.
• Uložte veškerou svou práci a pokračujte v práci později.
• Rychlé vyhledávání a zvýraznění zajímavého obsahu v HTTP zprávách.
• Pracujte s vlastními certifikáty SSL a klienty bez proxy.
• Definujte pravidla pro automatickou úpravu požadavků a odpovědí bez ručního zásahu.

A určitě bych doporučil celou sadu burpů!

Můžete použít doplněk Firefox Live HTTP Headers , abyste si je mohli prohlédnout a přehrát.

Paros a Burp jsou 2 nejčastější open-source možnosti. K dispozici je také komerční verze Burpu. Oba jsou psány v Javě.

Proxy ladění HTTP Fiddler existuje již několik let a je aktivně udržováno. Umožňuje zachycení a úpravy provozu, vytváření vlastních požadavků, nahrazování požadavků a je plně skriptovatelné a rozšiřitelné. Je to nástroj pouze pro Windows.

Má také rozšíření pro pasivní a aktivní testování zabezpečení. Zřeknutí se odpovědnosti - já jsem je spoluautorem.

Owasp vydal nástroj s názvem Web Scarab

Paros Proxy a Burp fungují jako proxy, což vám umožňuje zachytit a upravit požadavky a odpovědi HTTP.

Paros, webscarab a burp jsem značně používal a burp vyhrával ruce dolů. K dispozici je bezplatná verze, ale plná verze je také velmi dobrá hodnota za 150 GBP/rok.

Líbí se mi MITM Proxy: http://mitmproxy.org/

(Pozor, existuje jiný projekt se stejným názvem.)

Má opravdu štíhlé rozhraní (vypadá jako ncurses), pokud se vám líbí něco takového. Má stejné funkce snímání/prohlížení/editace/přehrávání jako mnoho jiných, ale je to velmi příjemné pro klávesnici. Může také proxy připojení SSL!

Jen doplňte (jak se zdá, že nám zatím chyběl), že pokud používáte Firefox, existuje kolekce nazvaná „Samurai Web Testing Framework“ vytvořená Raulem Silesem, která je dodávána se všemi skvělými pluginy souvisejícími s webapp-sec zahrnutými do kolekce - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/ .

Vzácně jsem musel použít wfetch (další zdarma stáhnout z MS), abych zpracoval surový bytage přes HTTP stream. Specifický problém spočívá v tom, že téměř všechny ostatní nástroje, zejména proxy a pluginy prohlížeče, nutně kódují všechny netisknutelné znaky URL a někdy je prostě chcete odeslat chr (9) ....