除了Fiddler，Charles，Poster和Achilles之外还有其他HTTP / HTTPS拦截工具吗？ [关闭]

Question

我正在测试我的应用程序的安全性。

除了 Fiddler 之外， Charles 和海报 （Firefox插件）。有没有其他免费使用https拦截（和编辑）应用程序？特别是那些可以安装w / o管理员权限的。

阿基里斯想到了，但我认为它无法处理https流量。

Answer 1

Achilles确实可以处理HTTPS流量，但他们在网站上注意到它不再是最好的工具。

他们的建议是 Burp Suite 和 WebScarab ，我强烈推荐这两个。

Answer 2

OWASP ZAP - 其免费，开源和跨平台。

它也是最活跃的开源Web安全工具，在Toolswatch.org运行的最后2个“Top Security Tools”调查中排在第一和第二位（ 2013 ， 2014 ）

它最初是从Paros派生的，不再维护，但它现在有更多的功能。

它的OWASP旗舰项目取代了WebScarab，基本上不再维护。

Simon（ZAP项目负责人）

Answer 3

Wireshark 令人惊叹。它捕获网络上的所有内容，因此您需要过滤到http / https： http：//wiki.wireshark .ORG / CaptureFilters 的。

Answer 4

进行更多研究我遇到了 Paros Proxy 。似乎是一个很好的替代品  其他

Answer 5

我建议有一些程序。

已经注意到Paros Proxy和Ratproxy。

scapy 是一个功能强大的数据包操作工具，具有所有的嗅探和监控功能能力也是如此。 dsniff 是一套工具，允许操作，注入和各种拦截，以及修改选项。

IE还有一个名为 Tamper IE 的插件，它有一个简单的基于GUI的数据包编辑器

所有这些都是免费的。

Answer 6

我强烈建议 HttpWatch 。我相信基本版本是免费的，并在某种程度上捕获您的HTTPS流量。专业版是物有所值。

Answer 7

查看 ratproxy 。它可能不是您要求的，但在测试Web应用程序的安全性方面非常有用。

它不是拦截HTTP并允许您编辑或重播请求，而是作为代理安装并监控Web应用程序的正常使用，然后提供有关可能的安全问题及其严重性的报告。它还可以配置为在认为存在漏洞的情况下尝试活动的XSS或XSRF攻击。

该网站称“Ratproxy目前被认为支持Linux，FreeBSD，MacOS X和Windows（Cygwin）环境”。但我只在Linux上使用它。

Answer 8

检查 HTTP Debugger Pro

这是无代理解决方案，对传输数据没有任何影响。

它还具有现代用户界面：）