it-swarm-es.com

¿Cómo puedo interceptar y modificar solicitudes HTTP?

¿Hay alguna herramienta gratuita disponible que me permita interceptar y modificar solicitudes HTTP para pruebas?

Estoy buscando herramientas que me permitan enviar encabezados HTTP personalizados.

15
James T

Personalmente, soy parcial con Fiddler, un programa gratuito descargar de MS.
Hay muchos otros proxies http interactivos decentes, pero ese me sirve mejor.

16
AviD

Como se mencionó anteriormente, hay varios servidores proxy HTTP que permiten interceptar y modificar solicitudes y respuestas.

Aquí hay una lista de las que conozco:

  • WebScarab (descargo de responsabilidad: lo escribí)
  • Paros
  • Eructar
  • ZAP (Z Attack Proxy - una versión actualizada de Paros)
  • Fiddler/Fiddler2
  • Aquiles
  • HTTPush
  • Éxodo (descargo de responsabilidad: lo escribí, y es muy viejo)

Si desea escribir su propio proxy de interceptación, puede echar un vistazo a OWASP Proxy, una biblioteca Java) que implementa todas las funcionalidades de protocolo HTTP necesarias para que no tenga que hacerlo.

11
Rogan Dawes

Hace un tiempo usé el complemento Tamper Data Firefox y me pareció bastante efectivo. Tiene algunas buenas características, como poder elegir qué solicitudes desea manipular y también tiene algunas vulnerabilidades predefinidas que puede usar para completar los valores de campo.

alt text

10
Mark Davidson

Eructar ahora rocas. Portswigger ha realizado algunos desarrollos excelentes en los últimos 2 años. Desde sitio web , Burp puede:

  • Intercepte y modifique todo el tráfico HTTP/S que pasa en ambas direcciones.
  • Analice fácilmente todo tipo de contenido, con coloración automática de sintaxis de solicitud y respuesta, representación de contenido web y análisis de esquemas de serialización como AMF.
  • Aplique reglas detalladas para determinar qué solicitudes y respuestas se interceptan para las pruebas manuales.
  • Ver todo el tráfico en el historial de proxy detallado, con filtros avanzados y funciones de búsqueda.
  • Envíe elementos interesantes a otras herramientas de Burp Suite con un solo clic.
  • Guarde todo su trabajo y continúe trabajando más tarde.
  • Busque y resalte rápidamente contenido interesante en mensajes HTTP.
  • Trabaje con certificados SSL personalizados y clientes no compatibles con proxy.
  • Defina reglas para modificar automáticamente solicitudes y respuestas sin intervención manual.

¡Y definitivamente recomendaría toda la suite de eructos!

6
Rory Alsop

Puede usar el complemento de Firefox Encabezados HTTP en vivo para poder verlos y reproducirlos.

4
James T

Paros y Burp son las 2 opciones de código abierto más comunes. También hay una versión comercial de Burp disponible. Ambos están escritos en Java.

3
chs

El proxy depuración HTTP Fiddler ha existido durante años y se mantiene activamente. Permite la intercepción y modificación del tráfico, la creación de solicitudes personalizadas, la repetición de solicitudes y es totalmente programable y ampliable. Es una herramienta solo para Windows.

También tiene extensiones para pruebas de seguridad pasivas y activas. Descargo de responsabilidad: soy coautor de esos.

3
Weber

Owasp ha lanzado una herramienta llamada Web Scarab

2
Lareau

Paros Proxy y Burp funcionan como proxies, lo que le permite interceptar y modificar solicitudes y respuestas HTTP.

2
Crunge

He usado Paros, webscarab y eructo ampliamente y eructo gana sin dudas. Hay una versión gratuita, pero la versión completa también tiene un valor muy bueno a £ 150/año.

1
David Taylor

Me gusta el proxy MITM: http://mitmproxy.org/

(Cuidado, hay otro proyecto con el mismo nombre).

Tiene una interfaz realmente delgada (parece ncurses), si te gusta ese tipo de cosas. Tiene las mismas capacidades de captura/vista/edición/reproducción que muchas otras, pero es muy amigable con el teclado. ¡También puede proxy conexiones SSL!

0
Mark E. Haase

Solo para agregar (como parece haberse perdido hasta ahora) que si está usando Firefox, hay una colección llamada "Samurai Web Testing Framework" creada por Raul Siles que viene con todos los complementos geniales relacionados con webapp-sec incluidos en la colección - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/ .

0
Mark Hillick

En raras ocasiones, he tenido que usar wfetch (otro gratuito descargar de MS), para manejar bypass sin procesar a través de la secuencia HTTP. El problema específico es que casi todas las otras herramientas, especialmente los servidores proxy y los complementos del navegador, necesariamente codifican en URL los caracteres no imprimibles ... y, a veces, solo quieres enviar ese chr (9) ...

0
AviD