Frage:
Wie kann ich HTTP-Anforderungen abfangen und ändern?
James T
2010-11-12 19:41:09 UTC
view on stackexchange narkive permalink

Gibt es kostenlose Tools, mit denen ich HTTP-Anforderungen zum Testen abfangen und ändern kann?

Ich suche nach Tools, mit denen ich benutzerdefinierte HTTP-Header senden kann.

Dreizehn antworten:
AviD
2010-11-12 19:44:29 UTC
view on stackexchange narkive permalink

Ich persönlich bin ein Teil von Fiddler, einem kostenlosen Download von MS.
Es gibt viele andere anständige interaktive http-Proxys, aber dieser dient mir am besten.

Rogan Dawes
2010-11-19 12:45:05 UTC
view on stackexchange narkive permalink

Wie oben erwähnt, gibt es eine Reihe von HTTP-Proxys, mit denen Anforderungen und Antworten abgefangen und geändert werden können.

Hier ist eine Liste der mir bekannten:

  • WebScarab (Haftungsausschluss: Ich habe es geschrieben)
  • Paros
  • Burp
  • ZAP (Z Attack Proxy - eine aktualisierte Version von Paros)
  • Fiddler / Fiddler2
  • Achilles
  • HTTPush
  • Exodus (Haftungsausschluss: Ich habe es geschrieben und es ist wirklich alt)

Wenn Sie Ihren eigenen Intercepting-Proxy schreiben möchten, sollten Sie sich OWASP Proxy ansehen, eine Java-Bibliothek, die alle erforderlichen HTTP-Protokollfunktionen implementiert, damit Sie dies nicht tun müssen.

Mark Davidson
2010-11-12 19:46:35 UTC
view on stackexchange narkive permalink

Vor einiger Zeit habe ich das Firefox-Add-on Manipulationsdaten verwendet und festgestellt, dass es sehr effektiv ist. Es verfügt über einige gute Funktionen, z. B. die Möglichkeit, auszuwählen, welche Anforderungen Sie manipulieren möchten, und über einige vordefinierte Exploits, mit denen Sie Feldwerte füllen können.

alt text

Rory Alsop
2010-12-07 05:17:32 UTC
view on stackexchange narkive permalink

Rülpsen rockt jetzt. Portswigger hat in den letzten 2 Jahren einige hervorragende Entwicklungen gemacht. Auf der Website kann Burp:

  • alle HTTP / Straffic-Übergänge in beide Richtungen abfangen und ändern.
  • Alle Arten von Inhalten einfach analysieren, mit automatischer Kolorierung der Anforderungs- und Antwortsyntax, Rendern von Webinhalten und Parsen von Serialisierungsschemata wie AMF.
  • Wenden Sie fein abgestimmte Regeln an, um zu bestimmen, welche Anforderungen und Antworten für manuelle Tests abgefangen werden.
  • Alle anzeigen Datenverkehr im detaillierten Proxy-Verlauf mit erweiterten Filtern und Suchfunktionen.
  • Senden Sie interessante Elemente mit einem einzigen Klick an andere BurpSuite-Tools.
  • Speichern Sie Ihre gesamte Arbeit und setzen Sie die Arbeit später fort.
  • Schnelles Suchen und Hervorheben interessanter Inhalte in HTTP-Nachrichten.
  • Arbeiten Sie mit benutzerdefinierten SSL-Zertifikaten und nicht Proxy-fähigen Clients.
  • Definieren Sie Regeln, um Anfragen und Antworten ohne manuelle Intervention automatisch zu ändern.

Und ich würde definitiv die gesamte Burp-Suite empfehlen!

James T
2010-11-12 19:42:21 UTC
view on stackexchange narkive permalink

Sie können das Firefox-Add-On Live-HTTP-Header verwenden, um sie anzuzeigen und wiederzugeben.

chs
2010-11-19 03:10:15 UTC
view on stackexchange narkive permalink

Paros und Burp sind die beiden häufigsten Open-Source-Optionen. Es gibt auch eine kommerzielle Version von Burp. Sie sind beide in Java geschrieben.

Weber
2010-12-07 00:45:48 UTC
view on stackexchange narkive permalink

Der Fiddler HTTP Debugging Proxy gibt es schon seit Jahren und wird aktiv gewartet. Es ermöglicht das Abfangen und Ändern des Datenverkehrs, das Erstellen benutzerdefinierter Anforderungen und das Wiedergeben von Anforderungen und ist vollständig skriptfähig und erweiterbar. Es ist ein reines Windows-Tool.

Es verfügt auch über Erweiterungen für passive und aktive Sicherheitstests. Haftungsausschluss - Ich habe diese mitverfasst.

Ah, danke für die Requisiten, Feature-Anfragen, Fehler und neuen Ideen für Sicherheitsüberprüfungen sind immer willkommen!
Crunge
2010-11-15 07:20:54 UTC
view on stackexchange narkive permalink

Paros Proxy und Burp fungieren beide als Proxys, sodass Sie HTTP-Anforderungen und -Antworten abfangen und ändern können.

Lareau
2010-11-20 19:29:11 UTC
view on stackexchange narkive permalink

Owasp hat ein Tool namens Web Scarab

veröffentlicht
David Taylor
2010-11-19 03:27:37 UTC
view on stackexchange narkive permalink

Ich habe Paros, Webscarab und Rülpsen ausgiebig benutzt und Rülpsen gewinnt zweifellos. Es gibt eine kostenlose Version, aber die Vollversion bietet mit 150 GBP / Jahr auch einen sehr guten Wert.

AviD
2010-11-12 19:47:10 UTC
view on stackexchange narkive permalink

In seltenen Fällen musste ich wfetch (einen weiteren kostenlosen Download von MS) verwenden, um die Rohdaten über den HTTP-Stream zu verarbeiten. Das spezielle Problem besteht darin, dass fast alle anderen Tools, insbesondere Proxys und Browser-Plugins, nicht druckbare Zeichen per URL codieren müssen ... und manchmal möchten Sie einfach nur das chr (9) senden ...

Mit Burp Suite können Sie die automatische Codierung dieser Metazeichen deaktivieren
@atdre, wirklich? Sie können z. rohe NULL-Bytes? Hatte das nicht gesehen ... Könnte irgendwann zu Burp zurückkehren, es ist eine Weile her ... Danke dafür
Mark E. Haase
2012-05-18 06:47:41 UTC
view on stackexchange narkive permalink

Ich mag MITM Proxy: http://mitmproxy.org/

(Achtung, es gibt ein anderes Projekt mit demselben Namen.)

Es hat eine wirklich schlanke Oberfläche (sieht aus wie Flüche), wenn Sie so etwas mögen. Es verfügt über dieselben Funktionen zum Erfassen / Anzeigen / Bearbeiten / Wiedergeben wie viele andere, ist jedoch sehr tastaturfreundlich. Es kann auch SSL-Verbindungen als Proxy verwenden!

Mark Hillick
2012-05-18 14:51:02 UTC
view on stackexchange narkive permalink

Nur um hinzuzufügen (wie es bisher vermisst wurde), dass es bei Verwendung von Firefox eine Sammlung namens "Samurai Web Testing Framework" gibt, die von Raul Siles erstellt wurde und alle coolen Plugins für Webapp-Sek enthält in der Sammlung - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...