it-swarm-eu.dev

Wie kann ich HTTP-Anforderungen abfangen und ändern?

Gibt es kostenlose Tools, mit denen ich HTTP-Anforderungen zum Testen abfangen und ändern kann?

Ich suche nach Tools, mit denen ich benutzerdefinierte HTTP-Header senden kann.

15
James T

Ich persönlich bin ein Teil von Fiddler, einem kostenlosen Download von MS.
Es gibt viele andere anständige interaktive http-Proxys, aber dieser dient mir am besten.

16
AviD

Wie oben erwähnt, gibt es eine Reihe von HTTP-Proxys, mit denen Anforderungen und Antworten abgefangen und geändert werden können.

Hier ist eine Liste von denen, die ich kenne:

  • WebScarab (Haftungsausschluss: Ich habe es geschrieben)
  • Paros
  • Rülpsen
  • ZAP (Z Attack Proxy - eine aktualisierte Version von Paros)
  • Fiddler/Fiddler2
  • Achilles
  • HTTPush
  • Exodus (Haftungsausschluss: Ich habe es geschrieben und es ist wirklich alt)

Wenn Sie Ihren eigenen Intercepting-Proxy schreiben möchten, sollten Sie sich OWASP Proxy ansehen, eine Java -Bibliothek, die alle erforderlichen HTTP-Protokollfunktionen implementiert, damit Sie dies nicht müssen.

11
Rogan Dawes

Vor einiger Zeit habe ich das Firefox-Add-on Tamper Data verwendet und festgestellt, dass es sehr effektiv ist. Es verfügt über einige gute Funktionen, z. B. die Möglichkeit, auszuwählen, welche Anforderungen Sie manipulieren möchten, und über einige vordefinierte Exploits, mit denen Sie Feldwerte füllen können.

alt text

10
Mark Davidson

Rülpsen rockt jetzt. Portswigger hat in den letzten 2 Jahren einige hervorragende Entwicklungen gemacht. Von der Website kann Burp:

  • Abfangen und Ändern des gesamten HTTP/S-Verkehrs, der in beide Richtungen geleitet wird.
  • Analysieren Sie einfach alle Arten von Inhalten, indem Sie die Anforderungs- und Antwortsyntax automatisch einfärben, Webinhalte rendern und Serialisierungsschemata wie AMF analysieren.
  • Wenden Sie fein abgestimmte Regeln an, um zu bestimmen, welche Anforderungen und Antworten für manuelle Tests abgefangen werden.
  • Zeigen Sie den gesamten Datenverkehr im detaillierten Proxy-Verlauf mit erweiterten Filtern und Suchfunktionen an.
  • Senden Sie interessante Elemente mit einem einzigen Klick an andere Burp Suite-Tools.
  • Speichern Sie Ihre gesamte Arbeit und setzen Sie die Arbeit später fort.
  • Suchen und markieren Sie schnell interessante Inhalte in HTTP-Nachrichten.
  • Arbeiten Sie mit benutzerdefinierten SSL-Zertifikaten und nicht Proxy-fähigen Clients.
  • Definieren Sie Regeln, um Anforderungen und Antworten ohne manuelles Eingreifen automatisch zu ändern.

Und ich würde auf jeden Fall die gesamte Burp-Suite empfehlen!

6
Rory Alsop

Sie können das Firefox-Add-On Live-HTTP-Header verwenden, um sie anzuzeigen und wiederzugeben.

4
James T

Paros und Burp sind die beiden häufigsten Open-Source-Optionen. Es gibt auch eine kommerzielle Version von Burp. Sie sind beide in Java geschrieben.

3
chs

Der Fiddler HTTP Debugging Proxy gibt es schon seit Jahren und wird aktiv gepflegt. Es ermöglicht das Abfangen und Ändern des Datenverkehrs, das Erstellen benutzerdefinierter Anforderungen und das Wiedergeben von Anforderungen und ist vollständig skriptfähig und erweiterbar. Es ist ein Windows-Tool.

Es hat auch Erweiterungen für passive und aktive Sicherheitstests. Haftungsausschluss - Ich habe diese mitverfasst.

3
Weber

Owasp hat ein Tool namens Web Scarab veröffentlicht

2
Lareau

Paros Proxy und Burp fungieren beide als Proxys, sodass Sie HTTP-Anforderungen und -Antworten abfangen und ändern können.

2
Crunge

Ich habe Paros, Webscarab und Rülpsen ausgiebig benutzt und Rülpsen gewinnt zweifellos. Es gibt eine kostenlose Version, aber die Vollversion bietet auch einen sehr guten Wert von £ 150/Jahr.

1
David Taylor

Ich mag MITM Proxy: http://mitmproxy.org/

(Achtung, es gibt ein anderes Projekt mit demselben Namen.)

Es hat eine wirklich schlanke Oberfläche (sieht aus wie Flüche), wenn Sie so etwas mögen. Es verfügt über dieselben Funktionen zum Erfassen/Anzeigen/Bearbeiten/Wiedergeben wie viele andere, ist jedoch sehr tastaturfreundlich. Es kann auch SSL-Verbindungen vertreten!

0
Mark E. Haase

Nur um hinzuzufügen (wie es bisher vermisst zu sein scheint), dass es bei Verwendung von Firefox eine Sammlung namens "Samurai Web Testing Framework" gibt, die von Raul Siles erstellt wurde und alle coolen Plugins für Webapp-Sek enthält, die in der Sammlung enthalten sind - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/ .

0
Mark Hillick

In seltenen Fällen musste ich wfetch (ein weiteres kostenloses Download von MS) verwenden, um die Rohdaten über den HTTP-Stream zu verarbeiten. Das spezielle Problem besteht darin, dass fast alle anderen Tools, insbesondere Proxys und Browser-Plugins, nicht druckbare Zeichen per URL codieren müssen ... und manchmal möchten Sie einfach nur dieses chr (9) senden ...

0
AviD