Há algum HTTP / HTTPS interceptação diferentes Fiddler, Charles, Poster, e Aquiles ferramentas? [fechadas]
https://stackoverflow.com/questions/206318
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu estou no processo de testar minha aplicação no que diz respeito à segurança.
Além de Fiddler , Charles e Poster (Firefox plug-in). Há qualquer outra livre para usar https interceptação (e editar) aplicações lá fora? Especialmente aqueles que podem ser instalados w / o privilégios de administrador.
Aquiles vem à mente, mas eu não acho que ele pode lidar com https tráfego.
Solução
Aquiles funciona em HTTPS tráfego, mas eles observam em seu site que não é a melhor ferramenta mais.
As suas sugestões são Burp Suíte e WebScarab tanto de que eu recomendo
.Outras dicas
OWASP ZAP -. Sua livre, de código aberto e multiplataforma
Seu também a ferramenta de segurança web open source mais ativo e chegou primeiro e segundo nas pesquisas nos últimos 2 'ferramentas de segurança Top' dirigido por Toolswatch.org ( 2013 , 2014 )
Foi originalmente bifurcada de Paros, que já não é mantida, mas agora tem muito mais funcionalidades.
A sua WebScarab um projeto OWASP Flagship tendo substituído, o que também é, essencialmente, não é mantida.
Simon (ZAP Líder de Projeto)
Wireshark é incrível. Captura tudo na rede de forma que você precisa filtrar até http / https: http: //wiki.wireshark .org / CaptureFilters .
fazer mais pesquisas me deparei Paros Proxy . Parece ser uma boa alternativa para o outros.
Existem alguns programas que eu poderia sugerir.
Paros Proxy e Ratproxy já foram observadas.
scapy é uma poderosa ferramenta de manipulação de pacotes, e tem toda a cheirar e monitoramento capacidades também. dsniff é um conjunto de ferramentas que permite a manipulação, injeção, e todos os tipos de intercepção e opções de modificação.
Há também um plugin para o IE chamado Tamper IE que tem uma interface gráfica baseada editor de pacotes simples .
Todos estes são gratuitos.
Eu recomendo fortemente HttpWatch . Eu acredito que a versão básica é gratuita e captura o tráfego HTTPS em certa medida. A versão Professional vale o dinheiro.
Tenha um olhar em ratproxy . Pode não ser exatamente o que você está pedindo, mas é muito útil para testar a segurança do seu aplicativo web.
Ao invés de interceptar HTTP e permitindo que você edite ou de repetição pedidos, ele instala como um proxy e monitores o uso normal do seu aplicativo web, e fornece um relatório sobre possíveis problemas de segurança, juntamente com a sua gravidade. Ele também pode ser configurado para tentar XSS ativa ou ataques XSRF onde se pensa que há uma vulnerabilidade.
O site diz "Ratproxy é acreditado atualmente para suportar Linux, FreeBSD, MacOS X e ambientes Windows (Cygwin)" mas eu usei-o apenas em Linux.
Verifique HTTP Debugger Pro
É proxy-menos solução e têm impacto zero para os transferência de dados.
Também tem interface de utilizador moderna:)
