HTTP isteklerini nasıl kesebilir ve değiştirebilirim?

Yukarıda belirtildiği gibi, istekleri ve yanıtları durdurmaya ve değiştirmeye izin veren bir dizi HTTP proxy'si vardır.

İşte tanıdığımların listesi:

• WebScarab (feragatname: Yazdım)
• Paros
• Geğirmek
• ZAP (Z Attack Proxy - Paros'un güncellenmiş bir sürümü)
• Fiddler/Fiddler2
• Aşil
• HTTPush
• Çıkış (feragatname: Yazdım ve gerçekten eski)

Kendi ele geçirme proxy'nizi yazmak istiyorsanız, gerekli tüm HTTP protokol işlevlerini uygulayan bir Java kitaplığı) OWASP Proxy'ye göz atmak isteyebilirsiniz.

Bir süre önce Tamper Data Firefox Eklentisini kullandım ve oldukça etkili buldum. Hangi istekleri kurcalamak istediğinizi seçebilme gibi bazı iyi özelliklere sahiptir ve ayrıca alan değerlerini doldurmak için kullanabileceğiniz önceden tanımlanmış bazı istismarlara sahiptir.

Geğirmek şimdi sallanıyor. Portswigger son 2 yılda mükemmel gelişmeler kaydetti. web sitesi , Burp şunları yapabilir:

• Her iki yönde geçen tüm HTTP/S trafiğini durdurun ve değiştirin.
• İstek ve yanıt sözdiziminin otomatik renklendirilmesi, web içeriğinin oluşturulması ve AMF gibi serileştirme planlarının ayrıştırılmasıyla her türlü içeriği kolayca analiz edin.
• Manuel test için hangi isteklerin ve yanıtların engellendiğini belirlemek için ayrıntılı kurallar uygulayın.
• Gelişmiş filtreler ve arama işlevleriyle ayrıntılı proxy geçmişindeki tüm trafiği görüntüleyin.
• Tek bir tıklama ile diğer Burp Suite araçlarına ilginç öğeler gönderin.
• Tüm çalışmalarınızı kaydedin ve daha sonra çalışmaya devam edin.
• HTTP iletilerindeki ilginç içerikleri hızla arayın ve vurgulayın.
• Özel SSL sertifikaları ve proxy uyumlu olmayan istemcilerle çalışın.
• Manuel müdahale olmadan istekleri ve yanıtları otomatik olarak değiştirmek için kurallar tanımlayın.

Ve kesinlikle tüm geğirmek suite tavsiye ederim!

Firefox eklentisini Canlı HTTP Üstbilgileri kullanabilirsiniz, böylece görüntüleyebilir ve tekrar oynatabilirsiniz.

Paros ve Burp en yaygın 2 açık kaynak seçeneğidir. Burp'un ticari bir versiyonu da mevcut. Her ikisi de Java ile yazılmıştır.

Fiddler HTTP hata ayıklama proxy yıllardır var ve aktif olarak korunuyor. Trafiğin durdurulmasına ve değiştirilmesine, özel isteklerin hazırlanmasına, isteklerin tekrarlanmasına izin verir ve tamamen yazılabilir ve genişletilebilir. Yalnızca Windows için kullanılan bir araçtır.

Ayrıca pasif ve aktif güvenlik testi için zantılar vardır. Feragatname - Bunları birlikte yazdım.

Owasp Web Scarab adlı bir araç yayınladı

Paros Proxy ve Burp, her ikisi de proxy olarak işlev görür ve HTTP isteklerini ve yanıtlarını engellemenizi ve değiştirmenizi sağlar.

Ben Paros, webscarab ve geğirmek yaygın kullandım ve geğirmek eller aşağı kazanır. Ücretsiz bir sürümü var, ancak tam sürüm de yılda 150 £ çok iyi bir değer.

MITM Proxy'yi seviyorum: http://mitmproxy.org/

(Dikkatli olun, aynı isimli başka bir proje daha var.)

Bu tür şeylerden hoşlanıyorsanız, gerçekten yalın, arayüzlere (ncurses'a benziyor) sahiptir. Diğerleri ile aynı yakalama/görüntüleme/düzenleme/tekrar oynatma özelliklerine sahiptir, ancak çok klavye dostudur. Ayrıca SSL bağlantılarını proxy yapabilir!

Firefox'u kullanıyorsanız, koleksiyona dahil olan tüm harika webapp-sec ile ilgili tüm eklentilerle birlikte gelen Raul Siles tarafından oluşturulan "Samurai Web Test Framework" adında bir koleksiyon var. - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/ .

Nadiren, HTTP akışı üzerinden ham bytage işlemek için wfetch (MS'den başka bir ücretsiz download ) kullanmak zorunda kaldım. Özel sorun, neredeyse tüm diğer araçların, özellikle proxy'lerin ve tarayıcı eklentilerinin, yazdırılamayan karakterleri mutlaka URL kodlamasıdır ... ve bazen, gerçekten o chr (9) göndermek istiyorum ....