¿Hay alguna herramienta de interceptación HTTP / HTTPS que no sea Fiddler, Charles, Poster y Achilles? [cerrado]
https://stackoverflow.com/questions/206318
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy en el proceso de probar mi aplicación con respecto a la seguridad.
Aparte de Fiddler , Charles y Cartel (Enchufa Firefox). ¿Hay alguna otra aplicación de intercepción (y edición) https gratuita? Especialmente los que se pueden instalar sin privilegios de administrador.
Aquiles viene a mi mente, pero no creo que pueda manejar el tráfico https.
Solución
Achilles funciona en el tráfico HTTPS, pero notan en su sitio que ya no es la mejor herramienta.
Sus sugerencias son Burp Suite y WebScarab ambos lo recomiendo encarecidamente.
Otros consejos
OWASP ZAP - su plataforma gratuita, de código abierto y multiplataforma.
También es la herramienta de seguridad web de código abierto más activa y quedó primero y segundo en las últimas 2 encuestas 'Top Security Tools' realizadas por Toolswatch.org ( 2013 , 2014 )
Originalmente fue bifurcado de Paros, que ya no se mantiene, pero ahora tiene muchas más funcionalidades.
Es un proyecto insignia de OWASP que ha reemplazado a WebScarab, que tampoco se mantiene.
Simon (Líder del proyecto ZAP)
Wireshark es increíble. Captura todo en la red, por lo que deberá filtrar a http / https: http: //wiki.wireshark .org / CaptureFilters .
Investigando más me encontré con Paros Proxy . Parece ser una buena alternativa a la otros.
Hay algunos programas que sugeriría.
Paros Proxy y Ratproxy ya se han anotado.
scapy es una poderosa herramienta de manipulación de paquetes, y tiene todo el olfateo y monitoreo capacidades también. dsniff es un conjunto de herramientas que permite la manipulación, la inyección y todo tipo de intercepción y opciones de modificación.
También hay un complemento para IE llamado Tamper IE que tiene un sencillo editor de paquetes basado en GUI .
Todos estos son gratuitos.
Recomiendo encarecidamente HttpWatch . Creo que la versión básica es gratuita y captura su tráfico HTTPS hasta cierto punto. La versión profesional vale la pena.
Eche un vistazo a ratproxy . Puede que no sea exactamente lo que está pidiendo, pero es muy útil para probar la seguridad de su aplicación web.
En lugar de interceptar HTTP y permitirle editar o reproducir solicitudes, se instala como un proxy y monitorea el uso normal de su aplicación web, y luego proporciona un informe sobre posibles problemas de seguridad, junto con su gravedad. También se puede configurar para intentar ataques XSS o XSRF activos donde cree que hay una vulnerabilidad.
El sitio dice que "se cree actualmente que Ratproxy es compatible con entornos Linux, FreeBSD, MacOS X y Windows (Cygwin)". pero solo lo he usado en Linux.
Verifique HTTP Debugger Pro
Es una solución sin proxy y tiene cero impacto en la transferencia de datos.
También tiene una interfaz de usuario moderna :)
