Domanda:
Come posso intercettare e modificare le richieste HTTP?
James T
2010-11-12 19:41:09 UTC
view on stackexchange narkive permalink

Sono disponibili strumenti gratuiti che mi consentono di intercettare e modificare le richieste HTTP per i test?

Sto cercando strumenti che mi permettano di inviare intestazioni HTTP personalizzate.

Tredici risposte:
#1
+16
AviD
2010-11-12 19:44:29 UTC
view on stackexchange narkive permalink

Personalmente sono un debole per Fiddler, un download gratuito da MS.
Ci sono molti altri proxy http interattivi decenti, ma quello mi serve al meglio.

#2
+11
Rogan Dawes
2010-11-19 12:45:05 UTC
view on stackexchange narkive permalink

Come accennato in precedenza, esistono numerosi proxy HTTP che consentono di intercettare e modificare richieste e risposte.

Di seguito è riportato un elenco di quelli che conosco:

  • WebScarab (disclaimer: l'ho scritto io)
  • Paros
  • Burp
  • ZAP (Z Attack Proxy - una versione aggiornata di Paros)
  • Fiddler / Fiddler2
  • Achilles
  • HTTPush
  • Exodus (disclaimer: l'ho scritto, ed è davvero vecchio)

Se desideri scrivere il tuo proxy di intercettazione, potresti dare un'occhiata a OWASP Proxy, una libreria Java che implementa tutte le funzionalità del protocollo HTTP necessarie in modo da non doverlo fare.

#3
+10
Mark Davidson
2010-11-12 19:46:35 UTC
view on stackexchange narkive permalink

Qualche tempo fa ho utilizzato il componente aggiuntivo per Firefox Tamper Data e l'ho trovato abbastanza efficace. Ha alcune buone caratteristiche come la possibilità di scegliere quali richieste si desidera manomettere e ha anche alcuni exploit predefiniti che è possibile utilizzare per popolare i valori dei campi.

alt text

#4
+6
Rory Alsop
2010-12-07 05:17:32 UTC
view on stackexchange narkive permalink

Burp ora è fantastico. Portswigger ha fatto degli ottimi sviluppi negli ultimi 2 anni. Dal sito web, Burp può:

  • Intercettare e modificare tutti gli HTTP / Straffic che passano in entrambe le direzioni.
  • Analizzare facilmente tutti i tipi di contenuto, con colorazione automatica della sintassi di richiesta e risposta, rendering di contenuto web e analisi di schemi di serializzazione come AMF.
  • Applica regole dettagliate per determinare quali richieste e risposte vengono intercettate per i test manuali.
  • Visualizza tutto traffico nella cronologia dettagliata del proxy, con filtri avanzati e funzioni di ricerca.
  • Invia elementi interessanti ad altri strumenti BurpSuite con un solo clic.
  • Salva tutto il tuo lavoro e riprendi a lavorare in seguito.
  • Cerca ed evidenzia rapidamente contenuti interessanti all'interno dei messaggi HTTP.
  • Lavora con certificati SSL personalizzati e client senza proxy.
  • Definisci regole per modificare automaticamente richieste e risposte senza intervento manuale.

E consiglierei sicuramente l'intera suite del rutto!

#5
+4
James T
2010-11-12 19:42:21 UTC
view on stackexchange narkive permalink

Puoi utilizzare il componente aggiuntivo di Firefox Live HTTP Headers in modo da visualizzarli e riprodurli.

#6
+3
chs
2010-11-19 03:10:15 UTC
view on stackexchange narkive permalink

Paros e Burp sono le 2 opzioni open source più comuni. È disponibile anche una versione commerciale di Burp. Sono entrambi scritti in Java.

#7
+3
Weber
2010-12-07 00:45:48 UTC
view on stackexchange narkive permalink

Il proxy Fiddler HTTP debugging esiste da anni ed è attivamente mantenuto. Consente l'intercettazione e la modifica del traffico, la creazione di richieste personalizzate, la riproduzione di richieste ed è completamente programmabile ed estendibile. È uno strumento solo per Windows.

Ha anche estensioni per test di sicurezza passivi e attivi. Disclaimer: sono coautore di quelli.

Ah grazie per gli oggetti di scena, le richieste di funzionalità, i bug e le nuove idee per i controlli di sicurezza sono sempre i benvenuti!
#8
+2
Crunge
2010-11-15 07:20:54 UTC
view on stackexchange narkive permalink

Paros Proxy e Burp funzionano entrambi come proxy, consentendo di intercettare e modificare richieste e risposte HTTP.

#9
+2
Lareau
2010-11-20 19:29:11 UTC
view on stackexchange narkive permalink

Owasp ha rilasciato uno strumento chiamato Web Scarab

#10
+1
David Taylor
2010-11-19 03:27:37 UTC
view on stackexchange narkive permalink

Ho usato paros, webscarab e burp ampiamente e rutto vince a mani basse. Esiste una versione gratuita, ma anche la versione completa ha un ottimo rapporto qualità-prezzo a £ 150 / anno.

#11
  0
AviD
2010-11-12 19:47:10 UTC
view on stackexchange narkive permalink

In rare occasioni, ho dovuto utilizzare wfetch (un altro download gratuito da MS), per gestire i byte grezzi sul flusso HTTP. Il problema specifico è che quasi tutti gli altri strumenti, in particolare proxy e plug-in del browser, codificano necessariamente in URL tutti i caratteri non stampabili ... ea volte, vuoi davvero inviare quel chr (9) ....

Burp Suite ti consentirà di disattivare la codifica automatica di quei metacaratteri
@atdre, davvero? Puoi inviare ad es. byte NULL grezzi? Non l'avevo visto ... Potrei tornare a Burp qualche volta, è passato un po 'di tempo ... Grazie per questo
#12
  0
Mark E. Haase
2012-05-18 06:47:41 UTC
view on stackexchange narkive permalink

Mi piace MITM Proxy: http://mitmproxy.org/

(Attenzione, c'è un altro progetto con lo stesso nome.)

It ha un'interfaccia molto snella (sembra ncurses), se ti piace questo genere di cose. Ha le stesse capacità di cattura / visualizzazione / modifica / riproduzione di molti altri, ma è molto intuitivo per la tastiera. Può anche eseguire il proxy delle connessioni SSL!

#13
  0
Mark Hillick
2012-05-18 14:51:02 UTC
view on stackexchange narkive permalink

Solo per aggiungere (dato che finora sembra essere stato perso) che se stai usando Firefox, c'è una raccolta chiamata "Samurai Web Testing Framework" creata da Raul Siles che viene fornita con tutti i fantastici plugin relativi alle webapp inclusi nella raccolta: https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...