Gibt es kostenlose Tools, mit denen ich HTTP-Anforderungen zum Testen abfangen und ändern kann?
Ich suche nach Tools, mit denen ich benutzerdefinierte HTTP-Header senden kann.
Gibt es kostenlose Tools, mit denen ich HTTP-Anforderungen zum Testen abfangen und ändern kann?
Ich suche nach Tools, mit denen ich benutzerdefinierte HTTP-Header senden kann.
Ich persönlich bin ein Teil von Fiddler, einem kostenlosen Download von MS.
Es gibt viele andere anständige interaktive http-Proxys, aber dieser dient mir am besten.
Wie oben erwähnt, gibt es eine Reihe von HTTP-Proxys, mit denen Anforderungen und Antworten abgefangen und geändert werden können.
Hier ist eine Liste der mir bekannten:
Wenn Sie Ihren eigenen Intercepting-Proxy schreiben möchten, sollten Sie sich OWASP Proxy ansehen, eine Java-Bibliothek, die alle erforderlichen HTTP-Protokollfunktionen implementiert, damit Sie dies nicht tun müssen.
Vor einiger Zeit habe ich das Firefox-Add-on Manipulationsdaten verwendet und festgestellt, dass es sehr effektiv ist. Es verfügt über einige gute Funktionen, z. B. die Möglichkeit, auszuwählen, welche Anforderungen Sie manipulieren möchten, und über einige vordefinierte Exploits, mit denen Sie Feldwerte füllen können.
Rülpsen rockt jetzt. Portswigger hat in den letzten 2 Jahren einige hervorragende Entwicklungen gemacht. Auf der Website kann Burp:
Und ich würde definitiv die gesamte Burp-Suite empfehlen!
Sie können das Firefox-Add-On Live-HTTP-Header verwenden, um sie anzuzeigen und wiederzugeben.
Paros und Burp sind die beiden häufigsten Open-Source-Optionen. Es gibt auch eine kommerzielle Version von Burp. Sie sind beide in Java geschrieben.
Der Fiddler HTTP Debugging Proxy gibt es schon seit Jahren und wird aktiv gewartet. Es ermöglicht das Abfangen und Ändern des Datenverkehrs, das Erstellen benutzerdefinierter Anforderungen und das Wiedergeben von Anforderungen und ist vollständig skriptfähig und erweiterbar. Es ist ein reines Windows-Tool.
Es verfügt auch über Erweiterungen für passive und aktive Sicherheitstests. Haftungsausschluss - Ich habe diese mitverfasst.
Paros Proxy und Burp fungieren beide als Proxys, sodass Sie HTTP-Anforderungen und -Antworten abfangen und ändern können.
Owasp hat ein Tool namens Web Scarab
veröffentlichtIch habe Paros, Webscarab und Rülpsen ausgiebig benutzt und Rülpsen gewinnt zweifellos. Es gibt eine kostenlose Version, aber die Vollversion bietet mit 150 GBP / Jahr auch einen sehr guten Wert.
In seltenen Fällen musste ich wfetch (einen weiteren kostenlosen Download von MS) verwenden, um die Rohdaten über den HTTP-Stream zu verarbeiten. Das spezielle Problem besteht darin, dass fast alle anderen Tools, insbesondere Proxys und Browser-Plugins, nicht druckbare Zeichen per URL codieren müssen ... und manchmal möchten Sie einfach nur das chr (9) senden ...
Ich mag MITM Proxy: http://mitmproxy.org/
(Achtung, es gibt ein anderes Projekt mit demselben Namen.)
Es hat eine wirklich schlanke Oberfläche (sieht aus wie Flüche), wenn Sie so etwas mögen. Es verfügt über dieselben Funktionen zum Erfassen / Anzeigen / Bearbeiten / Wiedergeben wie viele andere, ist jedoch sehr tastaturfreundlich. Es kann auch SSL-Verbindungen als Proxy verwenden!
Nur um hinzuzufügen (wie es bisher vermisst wurde), dass es bei Verwendung von Firefox eine Sammlung namens "Samurai Web Testing Framework" gibt, die von Raul Siles erstellt wurde und alle coolen Plugins für Webapp-Sek enthält in der Sammlung - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/.