it-swarm-id.com

Bagaimana saya bisa mencegat dan memodifikasi permintaan HTTP?

Apakah ada alat gratis yang tersedia yang memungkinkan saya mencegat dan memodifikasi permintaan HTTP untuk pengujian?

Saya mencari alat yang memungkinkan saya mengirim tajuk HTTP khusus.

15
James T

Saya pribadi menyukai Fiddler, unduhan gratis dari MS.
Ada banyak proksi http interaktif yang layak lainnya, tetapi yang satu melayani saya dengan yang terbaik.

16
AviD

Seperti disebutkan di atas, ada sejumlah proxy HTTP yang memungkinkan intersepsi dan memodifikasi permintaan dan respons.

Berikut adalah daftar yang saya tahu:

  • WebScarab (penafian: Saya menulisnya)
  • Paros
  • Sendawa
  • ZAP (Z Attack Proxy - versi terbaru dari Paros)
  • Fiddler/Fiddler2
  • Achilles
  • HTTPush
  • Exodus (penafian: Saya menulisnya, dan itu benar-benar tua)

Jika Anda ingin menulis proxy intersepsi Anda sendiri, Anda mungkin ingin melihat OWASP Proxy, pustaka Java yang mengimplementasikan semua fungsi protokol HTTP yang diperlukan sehingga Anda tidak perlu melakukannya.

11
Rogan Dawes

Beberapa waktu yang lalu saya menggunakan Tamper Data Add-on Firefox dan ternyata cukup efektif. Ini memiliki beberapa fitur bagus seperti bisa memilih permintaan apa yang ingin Anda ubah dan juga memiliki beberapa eksploitasi yang telah ditentukan yang dapat Anda gunakan untuk mengisi nilai bidang.

alt text

10
Mark Davidson

Bersendawa sekarang menjadi bebatuan. Portswigger telah membuat beberapa perkembangan luar biasa dalam 2 tahun terakhir. Dari situs web , Burp dapat:

  • Mencegat dan memodifikasi semua lalu lintas HTTP/S yang lewat di kedua arah.
  • Menganalisis semua jenis konten dengan mudah, dengan pewarnaan otomatis dari sintaks permintaan dan respons, rendering konten web, dan penguraian skema serialisasi seperti AMF.
  • Terapkan aturan berbutir halus untuk menentukan permintaan dan respons mana yang disadap untuk pengujian manual.
  • Lihat semua lalu lintas dalam riwayat proksi terperinci, dengan filter lanjutan dan fungsi pencarian.
  • Kirim item menarik ke alat Burp Suite lainnya dengan satu klik.
  • Simpan semua pekerjaan Anda, dan lanjutkan bekerja nanti.
  • Cari dan sorot konten yang menarik dengan cepat dalam pesan HTTP.
  • Bekerja dengan sertifikat SSL khusus dan klien yang tidak mengetahui proxy.
  • Tetapkan aturan untuk secara otomatis memodifikasi permintaan dan tanggapan tanpa intervensi manual.

Dan saya pasti akan merekomendasikan seluruh suite bersendawa!

6
Rory Alsop

Anda dapat menggunakan add-on Firefox Header HTTP Langsung sehingga Anda dapat melihat dan mengulanginya.

4
James T

Paros dan Burp adalah 2 opsi open-source yang paling umum. Ada versi komersial Burp juga tersedia. Keduanya ditulis dalam Java.

3
chs

Proxy Fiddler HTTP debugging telah ada selama bertahun-tahun dan dipelihara secara aktif. Ini memungkinkan untuk intersepsi dan modifikasi lalu lintas, menyusun permintaan khusus, memutar ulang permintaan, dan sepenuhnya skrip dan dapat diperpanjang. Ini alat khusus Windows.

Ini juga memiliki ekstensi untuk pengujian keamanan pasif dan aktif. Penafian - Saya ikut menulis itu.

3
Weber

Owasp telah merilis alat yang disebut Web Scarab

2
Lareau

Paros Proxy dan Burp keduanya berfungsi sebagai proxy, memungkinkan Anda untuk mencegat dan memodifikasi permintaan dan respons HTTP.

2
Crunge

Saya telah menggunakan Paros, webscarab, dan bersendawa secara ekstensif dan sendawa menang dengan mudah. Ada versi gratis, tetapi versi lengkapnya juga nilainya sangat bagus yaitu £ 150/tahun.

1
David Taylor

Saya suka Proxy MITM: http://mitmproxy.org/

(Hati-hati, ada proyek lain dengan nama yang sama.)

Ini memiliki antarmuka yang sangat ramping (seperti ncurses), jika Anda suka hal semacam itu. Ini memiliki kemampuan menangkap/melihat/mengedit/memutar ulang yang sama seperti banyak orang lain, tetapi sangat ramah keyboard. Itu juga dapat mem-proxy koneksi SSL!

0
Mark E. Haase

Hanya untuk menambahkan (karena tampaknya telah terjawab sejauh ini) bahwa jika Anda menggunakan Firefox, ada koleksi yang disebut "Samurai Web Testing Framework" yang dibuat oleh Raul Siles yang dilengkapi dengan semua plugin terkait webapp-sec keren yang termasuk dalam koleksi - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/ .

0
Mark Hillick

Suatu kejadian yang jarang, saya harus menggunakan wfetch (gratis lain download dari MS), untuk menangani bytage mentah melalui aliran HTTP. Masalah spesifiknya adalah bahwa hampir semua alat lain, terutama proksi dan plugin browser, harus menyandikan URL setiap karakter yang tidak dapat dicetak ... dan kadang-kadang, Anda hanya ingin mengirim chr (9) ....

0
AviD