it-swarm.dev

Come posso intercettare e modificare le richieste HTTP?

Sono disponibili strumenti gratuiti che mi permettono di intercettare e modificare le richieste HTTP per i test?

Sto cercando strumenti che mi consentano di inviare intestazioni HTTP personalizzate.

15
James T

Personalmente sono parziale di Fiddler, un download gratuito da MS.
Esistono molti altri proxy HTTP interattivi decenti, ma quello mi serve al meglio.

16
AviD

Come accennato in precedenza, esistono numerosi proxy HTTP che consentono di intercettare e modificare richieste e risposte.

Ecco un elenco di quelli che conosco:

  • WebScarab (disclaimer: l'ho scritto)
  • Paros
  • Rutto
  • ZAP (Z Attack Proxy - una versione aggiornata di Paros)
  • Fiddler/Fiddler2
  • Achille
  • HTTPush
  • Exodus (disclaimer: l'ho scritto ed è davvero vecchio)

Se si desidera scrivere il proprio proxy di intercettazione, è possibile dare un'occhiata al proxy OWASP, una libreria Java che implementa tutte le funzionalità del protocollo HTTP necessarie, quindi non è necessario.

11
Rogan Dawes

Qualche tempo fa ho usato il componente aggiuntivo Tamper Data Firefox e l'ho trovato abbastanza efficace. Ha alcune buone caratteristiche come essere in grado di scegliere quali richieste desideri manomettere e ha anche alcuni exploit predefiniti che puoi usare per popolare i valori dei campi.

alt text

10
Mark Davidson

Il rutto ora oscilla. Portswigger ha fatto degli sviluppi eccellenti negli ultimi 2 anni. Dal sito web , Burp può:

  • Intercetta e modifica tutto il traffico HTTP/S che passa in entrambe le direzioni.
  • Analizza facilmente tutti i tipi di contenuto, con la colorazione automatica della sintassi di richiesta e risposta, il rendering del contenuto Web e l'analisi di schemi di serializzazione come AMF.
  • Applicare regole precise per determinare quali richieste e risposte vengono intercettate per i test manuali.
  • Visualizza tutto il traffico nella cronologia dettagliata del proxy, con filtri avanzati e funzioni di ricerca.
  • Invia elementi interessanti ad altri strumenti di Burp Suite con un solo clic.
  • Salva tutto il tuo lavoro e riprendi a lavorare in seguito.
  • Cerca rapidamente ed evidenzia contenuti interessanti nei messaggi HTTP.
  • Lavora con certificati SSL personalizzati e client senza proxy.
  • Definire regole per modificare automaticamente richieste e risposte senza intervento manuale.

E consiglierei sicuramente l'intera suite burp!

6
Rory Alsop

È possibile utilizzare il componente aggiuntivo di Firefox Intestazioni HTTP in tempo reale in modo da poterle visualizzare e riprodurre.

4
James T

Paros e Burp sono le 2 opzioni open source più comuni. Esiste anche una versione commerciale di Burp. Sono entrambi scritti in Java.

3
chs

Il proxy Fiddler HTTP debugging esiste da anni ed è attivamente mantenuto. Consente l'intercettazione e la modifica del traffico, l'elaborazione di richieste personalizzate, la riproduzione di richieste ed è completamente programmabile ed estendibile. È uno strumento solo per Windows.

Ha anche estensioni per test di sicurezza passivi e attivi. Disclaimer - Ho co-scritto quelli.

3
Weber

Owasp ha rilasciato uno strumento chiamato Web Scarab

2
Lareau

Paros Proxy e Burp funzionano entrambi come proxy, permettendoti di intercettare e modificare richieste e risposte HTTP.

2
Crunge

Ho usato Paros, webscarab e burp ampiamente e burp vince a mani basse. C'è una versione gratuita, ma anche la versione completa ha un valore molto buono a £ 150/anno.

1
David Taylor

Mi piace MITM Proxy: http://mitmproxy.org/

(Attento, c'è un altro progetto con lo stesso nome.)

Ha interfacce molto snelle (sembra ncurses), se ti piace quel genere di cose. Ha le stesse capacità di acquisizione/visualizzazione/modifica/riproduzione di molte altre, ma è molto intuitivo da tastiera. Può anche proxy connessioni SSL!

0
Mark E. Haase

Solo per aggiungere (come sembra essere stato perso finora) che se stai usando Firefox, c'è una raccolta chiamata "Samurai Web Testing Framework" creata da Raul Siles che viene fornita con tutti i fantastici plugin correlati a webapp-sec inclusi nella raccolta - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/ .

0
Mark Hillick

In rare occasioni, ho dovuto usare wfetch (un altro download gratuito da MS), per gestire il bytage non elaborato sul flusso HTTP. Il problema specifico è che quasi tutti gli altri strumenti, in particolare i proxy e i plug-in del browser, codificano necessariamente l'URL di tutti i caratteri non stampabili ... e a volte, vuoi semplicemente inviare quel chr (9) ....

0
AviD