Existe-t-il des outils d'interception HTTP / HTTPS autres que Fiddler, Charles, Poster et Achilles? [fermé]
https://stackoverflow.com/questions/206318
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je suis en train de tester mon application en ce qui concerne la sécurité.
Mis à part Fiddler , Charles et affiche (Plug-in Firefox). Existe-t-il d'autres applications d'interception (et d'édition) https gratuites? Surtout ceux qui peuvent être installés sans privilèges d'administrateur.
Achilles me vient à l’esprit, mais je ne pense pas qu’il puisse gérer le trafic https.
La solution
Achilles fonctionne sur le trafic HTTPS, mais ils notent sur leur site que ce n’est plus le meilleur outil.
Leurs suggestions sont Burp Suite et WebScarab , ce que je recommande vivement.
Autres conseils
OWASP ZAP - son libre, open source et multiplateforme.
C’est également l’outil de sécurité Web Open Source le plus actif. Il est arrivé premier et deuxième dans les deux derniers sondages "Top Security Tools" menés par Toolswatch.org ( 2013 , 2014 )
Il a été créé à l'origine à partir de Paros, qui n'est plus maintenu, mais il a maintenant plus de fonctionnalités.
C’est un projet phare de l’OWASP ayant remplacé WebScarab, qui n’est plus essentiellement entretenu.
Simon (chef de projet ZAP)
Wireshark est incroyable. Il capture tout sur le réseau, vous devez donc filtrer jusqu'à http / https: http: //wiki.wireshark .org / CaptureFilters .
J'ai fait plus de recherches sur le proxy de Paros . Semble être une bonne alternative à la autres.
Il y a quelques programmes que je suggérerais.
Paros Proxy et Ratproxy ont déjà été mentionnés.
scapy est un puissant outil de manipulation de paquets, doté de toutes les fonctions de détection et de surveillance. capacités aussi bien. dsniff est une suite d'outils permettant la manipulation, l'injection et toutes sortes d'interceptions options de modification.
Il existe également un plug-in pour IE appelé Tamper IE avec un éditeur de paquets basé sur une interface graphique .
Tous ces éléments sont gratuits.
Je recommanderais vivement HttpWatch . Je crois que la version de base est gratuite et capture votre trafic HTTPS dans une certaine mesure. La version professionnelle vaut de l'argent.
Consultez ratproxy . Ce n'est peut-être pas exactement ce que vous demandez, mais il est très utile pour tester la sécurité de votre application Web.
Plutôt que d'intercepter HTTP et de vous permettre de modifier ou de relire les demandes, il s'installe en tant que proxy et surveille l'utilisation normale de votre application Web, puis fournit un rapport sur les problèmes de sécurité possibles, ainsi que leur gravité. Il peut également être configuré pour tenter des attaques XSS ou XSRF actives lorsqu'il pense qu'il existe une vulnérabilité.
Le site indique que "Ratproxy prend actuellement en charge les environnements Linux, FreeBSD, MacOS X et Windows (Cygwin)". mais je ne l'ai utilisé que sous Linux.
Vérifiez le débogueur HTTP
.C’est une solution sans proxy et n’a aucun impact sur le transfert des données.
En outre, il possède une interface utilisateur moderne:)
