Gibt es HTTP / HTTPS Interception andere Tools als Fiddler, Charles, Poster und Achilles? [geschlossen]
https://stackoverflow.com/questions/206318
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich bin in den Prozess in Bezug auf die Sicherheit meiner Anwendung zu testen.
Neben Fiddler , Charles und Poster (Firefox stecken). Gibt es noch andere freie https Interception verwenden (und Bearbeiten) Anwendungen gibt? Vor allem diejenigen, die w / o Administratorrechten installiert werden kann.
Achilles in den Sinn kommt, aber ich glaube nicht, dass HTTPS-Datenverkehr verarbeiten kann.
Lösung
Achilles funktioniert auf HTTPS-Datenverkehr, aber sie beachten Sie auf ihrer Website, dass es nicht das beste Werkzeug ist nicht mehr.
Ihre Vorschläge sind Burp Suite und WebScarab die ich beide sehr empfehlen
.Andere Tipps
OWASP ZAP -. Sein frei, Open Source und Cross-Plattform
Es ist auch das aktivsten Open-Source-Web-Sicherheits-Tool und kam zum ersten und zweiten in den letzten 2 'Top Security Tool' Umfragen liefen durch Toolswatch.org ( 2013 , 2014 )
Es wurde ursprünglich von Paros gegabelt, die nicht mehr eingehalten wird, aber es hat jetzt mehr Funktionalität Lasten.
Es ist ein OWASP Flagship Projekt hat ersetzt WebScarab, die auch im Wesentlichen nicht länger aufrecht erhalten.
Simon (ZAP Project Lead)
Wireshark ist erstaunlich. Es fängt alles im Netzwerk so müssen Sie filtern bis zu http / https: http: //wiki.wireshark .org / CaptureFilters .
mehr Forschung tun stieß ich auf Paros Proxy . Es scheint eine gute Alternative zu dem sein andere.
Es gibt ein paar Programme, die ich würde vorschlagen.
Paros Proxy und ratproxy wurden bereits erwähnt.
scapy ist ein leistungsfähiges Paket Manipulationswerkzeug und hat alle der Schnüffel und Überwachung Fähigkeiten als gut. dsniff ist eine Suite von Tools, die Manipulation, Injektion, und alle Arten von Abhör ermöglicht und Modifikationsmöglichkeiten.
Es gibt auch ein Plugin für IE genannt Tamper IE das hat eine einfache GUI-basierte Paket-Editor .
Alle diese sind kostenlos.
Ich würde dringend empfehlen Httpwatch . Ich glaube, dass die Basisversion ist kostenlos und erfaßt Ihren HTTPS-Datenverkehr zu einem gewissen Grad. Die Professional-Version ist das Geld wert.
Hier finden Sie aktuelle ratproxy rel="nofollow. Es ist vielleicht nicht genau das, was Sie fordern, aber es ist sehr nützlich, um die Sicherheit Ihres Web-App zu testen.
Anstatt Abfangen von HTTP und ermöglicht Ihnen, oder Replay-Anfragen zu bearbeiten, installiert es als Proxy und überwacht die normale Nutzung Ihrer Web-App und stellt dann einen Bericht über mögliche Sicherheitsprobleme sowie deren Schwere. Es kann auch versuchen, aktiv XSS oder XSRF Angriffe konfiguriert werden, dass sie denkt, dass es eine Sicherheitslücke.
Die Seite sagt "ratproxy zur Zeit unterstützen Linux, FreeBSD, MacOS X und Windows (Cygwin) Umgebungen angenommen wird," aber ich habe nur auf Linux.
Überprüfen Sie HTTP Debugger Pro
Es ist Proxy-Lösung weniger und hat keinerlei Auswirkungen auf die Übertragung von Daten.
Auch sie hat moderne Benutzeroberfläche:)
