Существуют ли какие-либо инструменты перехвата HTTP/HTTPS, кроме Fiddler, Charles, Poster и Achilles?[закрыто]
Вопрос
Я проверяю свое приложение на предмет безопасности.
Помимо Скрипач, Чарльз и Плакат (Плагин Firefox).Существуют ли какие-либо другие бесплатные приложения для перехвата (и редактирования) https?Особенно те, которые можно установить без прав администратора.
На ум приходит Ахиллес, но я не думаю, что он сможет обрабатывать https-трафик.
Решение
Achilles работает с HTTPS-трафиком, но на своем сайте отмечают, что это уже не лучший инструмент.
Их предложения Люкс «Отрыжка» и ВебСкарабей и то, и другое я очень рекомендую.
Другие советы
ОВАСП ЗАП - это бесплатно, с открытым исходным кодом и кроссплатформенно.
Это также самый активный инструмент веб-безопасности с открытым исходным кодом, который занял первое и второе места в двух последних опросах «Лучшие инструменты безопасности», проведенных Toolswatch.org (2013, 2014)
Первоначально он был ответвлением Paros, который больше не поддерживается, но теперь у него гораздо больше функций.
Это флагманский проект OWASP, пришедший на смену WebScarab, который также практически больше не поддерживается.
Саймон (руководитель проекта ZAP)
Вайршарк удивительно.Он фиксирует все в сети, поэтому вам придется фильтровать до http/https: http://wiki.wireshark.org/CaptureFilters.
Проводя дополнительные исследования, я наткнулся Парос Прокси.Кажется, хорошая альтернатива другим.
Я бы предложил несколько программ.
Уже упоминались Paros Proxy и Ratproxy.
худощавый является мощным инструментом манипулирования пакетами, а также обладает всеми возможностями прослушивания и мониторинга.dsniff — это набор инструментов, позволяющий манипулировать, внедрять и выполнять всевозможные варианты перехвата и модификации.
Существует также плагин для IE под названием Тампер IE который имеет простой редактор пакетов на основе графического интерфейса.
Все это бесплатно.
Я настоятельно рекомендую HttpWatch.Я считаю, что базовая версия бесплатна и в некоторой степени захватывает ваш HTTPS-трафик.Профессиональная версия стоит своих денег.
Посмотри на крыса-прокси.Возможно, это не совсем то, о чем вы просите, но это очень полезно при тестировании безопасности вашего веб-приложения.
Вместо того, чтобы перехватывать HTTP и позволять вам редактировать или воспроизводить запросы, он устанавливается в качестве прокси-сервера и отслеживает нормальное использование вашего веб-приложения, а затем предоставляет отчет о возможных проблемах безопасности, а также об их серьезности.Его также можно настроить на попытку активных атак XSS или XSRF там, где, по его мнению, существует уязвимость.
На сайте говорится: «В настоящее время считается, что Ratproxy поддерживает среды Linux, FreeBSD, MacOS X и Windows (Cygwin)», но я использовал его только в Linux.
Проверять HTTP-отладчик Pro
Это решение без прокси и не оказывает никакого влияния на передачу данных.
Также он имеет современный пользовательский интерфейс :)