Fiddler、Charles、Poster、およびAchilles以外のHTTP / HTTPSインターセプトツールはありますか？ [閉まっている]

Question

現在、セキュリティに関してアプリケーションをテストしています。

フィドラーは別として、チャールズおよびポスター （Firefoxプラグイン）。他にhttpsインターセプト（および編集）アプリケーションを無料で使用できるものはありますか？特に、管理者権限なしでインストールできるもの。

アキレスは頭に浮かぶが、httpsトラフィックを処理できるとは思わない。

Answer 1

アキレスはHTTPSトラフィックで動作しますが、サイト上では、これはもはや最良のツールではないことに注意しています。

提案は、 Burp Suite および WebScarab どちらも強くお勧めします。

Answer 2

OWASP ZAP -その無料のオープンソースおよびクロスプラットフォーム。

これは最もアクティブなオープンソースWebセキュリティツールでもあり、Toolswatch.orgが実施した過去2回の「トップセキュリティツール」調査で1位と2位になりました（ 2013 、 2014 ）

元々はメンテナンスされなくなったParosからフォークされましたが、現在ではより多くの機能がロードされています。

WebScarabを置き換えたOWASP Flagshipプロジェクトであり、WebScarabも基本的にメンテナンスされていません。

サイモン（ZAPプロジェクトリーダー）

Answer 3

Wireshark はすばらしい。ネットワーク上のすべてをキャプチャするため、http / https： http：//wiki.wiresharkに絞り込む必要があります。 .org / CaptureFilters 。

Answer 4

さらに調査を行って Paros Proxy に出会いました。に代わるものと思われる  その他。

Answer 5

提案するプログラムがいくつかあります。

Paros ProxyとRatproxyはすでに注目されています。

scapy は強力なパケット操作ツールであり、スニッフィングと監視のすべてを備えています。機能も。 dsniff は、操作、挿入、あらゆる種類の傍受を可能にするツールのスイートです。変更オプション。

タンパーIE というIE用のプラグインもあります。このプラグインには、GUIベースのシンプルなパケットエディターがあります。 。

これらはすべて無料です。

Answer 6

HttpWatch を強くお勧めします。基本バージョンは無料であり、HTTPSトラフィックをある程度キャプチャします。 Professionalバージョンにはお金の価値があります。

Answer 7

ratproxy をご覧ください。求めているものとは異なる場合がありますが、Webアプリのセキュリティのテストには非常に役立ちます。

HTTPをインターセプトしてリクエストを編集または再生できるようにするのではなく、プロキシとしてインストールし、Webアプリの通常の使用を監視してから、考えられるセキュリティの問題とその重大度に関するレポートを提供します。また、脆弱性があると思われる場所でアクティブなXSSまたはXSRF攻撃を試みるように構成することもできます。

サイトでは、「Ratproxyは現在、Linux、FreeBSD、MacOS X、およびWindows（Cygwin）環境をサポートしていると考えられています」と述べています。でもLinuxでしか使っていません。

Answer 8

HTTPデバッガープロ

を確認します

これはプロキシレスのソリューションであり、データの転送への影響はありません。

また、最新のユーザーインターフェースを備えています：）