Esistono strumenti di intercettazione HTTP / HTTPS diversi da Fiddler, Charles, Poster e Achilles? [chiuso]
https://stackoverflow.com/questions/206318
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto testando la mia domanda per quanto riguarda la sicurezza.
Oltre a Fiddler , Charles e Poster (Plug-in Firefox). Esistono altre applicazioni di intercettazione (e modifica) https libere? Soprattutto quelli che possono essere installati senza privilegi di amministratore.
Mi viene in mente Achille, ma non credo che possa gestire il traffico https.
Soluzione
Achille funziona sul traffico HTTPS, ma nota sul suo sito che non è più lo strumento migliore.
I loro suggerimenti sono Burp Suite e WebScarab che consiglio vivamente entrambi.
Altri suggerimenti
OWASP ZAP - è gratuito, open source e multipiattaforma.
È anche lo strumento di sicurezza web open source più attivo ed è arrivato primo e secondo negli ultimi 2 sondaggi "Top Security Tools" condotti da Toolswatch.org ( 2013 , 2014 )
Era originariamente biforcuta da Paros, che non è più mantenuta, ma ora ha molte più funzionalità.
È un progetto OWASP Flagship che ha sostituito WebScarab, che sostanzialmente non viene più mantenuto.
Simon (responsabile del progetto ZAP)
Wireshark è sorprendente. Cattura tutto sulla rete, quindi dovrai filtrare fino a http / https: http: //wiki.wireshark .org / CaptureFilters .
Facendo ulteriori ricerche mi sono imbattuto in Paros Proxy . Sembra essere una buona alternativa al altri.
Ci sono alcuni programmi che vorrei suggerire.
Paros Proxy e Ratproxy sono già stati notati.
scapy è un potente strumento di manipolazione dei pacchetti e ha tutto lo sniffing e il monitoraggio anche le capacità. dsniff è una suite di strumenti che consente la manipolazione, l'iniezione e ogni tipo di intercettazione e opzioni di modifica.
Esiste anche un plug-in per IE chiamato Tamper IE che ha un semplice editor di pacchetti basato su GUI .
Tutti questi sono gratuiti.
Consiglio vivamente HttpWatch . Credo che la versione base sia gratuita e acquisisca il tuo traffico HTTPS in una certa misura. La versione Professional vale i soldi.
Dai un'occhiata a ratproxy . Potrebbe non essere esattamente quello che stai chiedendo, ma è molto utile per testare la sicurezza della tua app web.
Anziché intercettare HTTP e consentire all'utente di modificare o riprodurre le richieste, si installa come proxy e monitora il normale utilizzo dell'app Web, quindi fornisce un rapporto sui possibili problemi di sicurezza, insieme alla loro gravità. Può anche essere configurato per tentare attacchi XSS o XSRF attivi laddove ritiene che sia presente una vulnerabilità.
Il sito dice che attualmente si ritiene che Ratproxy supporti gli ambienti Linux, FreeBSD, MacOS X e Windows (Cygwin) " ma l'ho usato solo su Linux.
Controlla HTTP Debugger Pro
È una soluzione senza proxy e ha un impatto zero sul trasferimento dei dati.
Inoltre ha un'interfaccia utente moderna :)
