it-swarm-vi.com

Làm cách nào tôi có thể chặn và sửa đổi các yêu cầu HTTP?

Có công cụ miễn phí nào khả dụng để tôi chặn và sửa đổi các yêu cầu HTTP để thử nghiệm không?

Tôi đang tìm kiếm các công cụ cho phép tôi gửi các tiêu đề HTTP tùy chỉnh.

15
James T

Cá nhân tôi là một phần của Fiddler, miễn phí tải xuống từ MS.
[.__.] Có nhiều proxy http tương tác tốt khác, nhưng proxy đó phục vụ tôi tốt nhất.

16
AviD

Như đã đề cập ở trên, có một số proxy HTTP cho phép chặn và sửa đổi các yêu cầu và phản hồi.

Dưới đây là danh sách những cái tôi biết:

  • WebScarab (từ chối trách nhiệm: Tôi đã viết nó)
  • Paros
  • ZAP (Z Attack Proxy - phiên bản cập nhật của Paros)
  • Fiddler/Fiddler2
  • Achilles
  • HTTPush
  • Exodus (từ chối trách nhiệm: Tôi đã viết nó, và nó thực sự cũ)

Nếu bạn muốn viết proxy chặn của riêng mình, bạn có thể xem qua OWASP Proxy, thư viện Java thực hiện tất cả các chức năng giao thức HTTP cần thiết để bạn không phải làm.

11
Rogan Dawes

Cách đây một thời gian, tôi đã sử dụng Tamper Data Firefox Add-on và thấy nó khá hiệu quả. Nó có một số tính năng tốt như có thể chọn những yêu cầu bạn muốn can thiệp và cũng có một số khai thác được xác định trước mà bạn có thể sử dụng để đưa vào các giá trị trường.

alt text

10
Mark Davidson

Burp bây giờ đá. Portswigger đã có một số phát triển xuất sắc trong 2 năm qua. Từ trang web , Burp có thể:

  • Chặn và sửa đổi tất cả lưu lượng HTTP/S đi theo cả hai hướng.
  • Dễ dàng phân tích tất cả các loại nội dung, với màu tự động của cú pháp yêu cầu và phản hồi, hiển thị nội dung web và phân tích cú pháp các sơ đồ tuần tự hóa như AMF.
  • Áp dụng các quy tắc chi tiết để xác định yêu cầu và phản hồi nào bị chặn để kiểm tra thủ công.
  • Xem tất cả lưu lượng trong lịch sử proxy chi tiết, với các bộ lọc và chức năng tìm kiếm nâng cao.
  • Gửi các mục thú vị đến các công cụ Burp Suite khác chỉ bằng một cú nhấp chuột.
  • Lưu tất cả công việc của bạn, và tiếp tục làm việc sau này.
  • Nhanh chóng tìm kiếm và làm nổi bật nội dung thú vị trong các tin nhắn HTTP.
  • Làm việc với các chứng chỉ SSL tùy chỉnh và các máy khách không nhận biết proxy.
  • Xác định quy tắc để tự động sửa đổi yêu cầu và phản hồi mà không cần can thiệp thủ công.

Và tôi chắc chắn sẽ đề nghị toàn bộ bộ ợ!

6
Rory Alsop

Bạn có thể sử dụng tiện ích bổ sung Firefox Tiêu đề HTTP trực tiếp để bạn có thể xem và phát lại chúng.

4
James T

Paros và Burp là 2 tùy chọn nguồn mở phổ biến nhất. Có một phiên bản thương mại của Burp là tốt. Cả hai đều được viết bằng Java.

3
chs

gỡ lỗi HTTP Fiddler proxy đã xuất hiện trong nhiều năm và được duy trì tích cực. Nó cho phép đánh chặn và sửa đổi lưu lượng, tạo các yêu cầu tùy chỉnh, phát lại các yêu cầu và hoàn toàn có thể viết được và có thể mở rộng. Đây là một công cụ chỉ dành cho Windows.

Nó cũng có phần mở rộng để kiểm tra bảo mật thụ động và chủ động. Tuyên bố miễn trừ trách nhiệm - Tôi là đồng tác giả.

3
Weber

Owasp đã phát hành một công cụ có tên Web Scarab

2
Lareau

Paros Proxy và Burp đều hoạt động như proxy, cho phép bạn chặn và sửa đổi các yêu cầu và phản hồi HTTP.

2
Crunge

Tôi đã sử dụng Paros, webscarab và ợ nhiều và ợ thắng. Có một phiên bản miễn phí, nhưng phiên bản đầy đủ cũng có giá trị rất tốt ở mức £ 150/năm.

1
David Taylor

Tôi thích Proxy MITM: http://mitmproxy.org/

(Cẩn thận, có một dự án khác có cùng tên.)

Nó có một giao diện thực sự gọn gàng (trông giống như ncurses), nếu bạn thích kiểu đó. Nó có khả năng chụp/xem/chỉnh sửa/phát lại giống như nhiều người khác, nhưng nó rất thân thiện với bàn phím. Nó cũng có thể proxy kết nối SSL!

0
Mark E. Haase

Chỉ cần thêm (dường như đã bị bỏ qua cho đến nay) rằng nếu bạn đang sử dụng Firefox, có một bộ sưu tập có tên "Khung kiểm tra web Samurai" được tạo bởi Raul Siles đi kèm với tất cả các plugin liên quan đến ứng dụng web tuyệt vời có trong bộ sưu tập - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/ .

0
Mark Hillick

Một số lần hiếm hoi, tôi đã phải sử dụng wfetch (miễn phí khác tải xuống từ MS), để xử lý quá điện áp thô qua luồng HTTP. Vấn đề cụ thể là hầu hết tất cả các công cụ khác, đặc biệt là proxy và plugin trình duyệt, nhất thiết phải mã hóa URL bất kỳ ký tự không in được nào ... và đôi khi, bạn thực sự muốn gửi chr đó (9) ....

0
AviD