web-dev-qa-db-ja.com

HTTPリクエストを傍受して変更するにはどうすればよいですか?

テストのためにHTTPリクエストを傍受および変更できる無料のツールはありますか?

カスタムHTTPヘッダーを送信できるツールを探しています。

appsectoolspenetration-testhttp
15
James T

私は個人的にFiddler、つまりMSからの無料の download に不満です。
他にも多くのまともなインタラクティブなhttpプロキシがありますが、それが私に最も役立ちます。

16
AviD

上記のように、リクエストとレスポンスのインターセプトと変更を可能にするHTTPプロキシがいくつかあります。

これは私が知っているもののリストです:

  • WebScarab(免責事項:私が作成しました)
  • パロス
  • げっぷ
  • ZAP(Z Attack Proxy-Parosの更新バージョン)
  • Fiddler/Fiddler2
  • アキレス
  • HTTPush
  • Exodus(免責事項:私が書いた、そしてそれは本当に古い)

独自のインターセプトプロキシを作成する場合は、OWASPプロキシをご覧ください。必要なすべてのHTTPプロトコル機能を実装するJavaライブラリが必要ないためです。

11
Rogan Dawes

少し前に Tamper Data Firefoxアドオンを使用しましたが、非常に効果的であることがわかりました。改ざんしたいリクエストを選択できるなどの優れた機能がいくつかあり、フィールド値の入力に使用できる事前定義されたエクスプロイトもいくつかあります。

alt text

10
Mark Davidson

げっぷは今揺れています。 Portswiggerは過去2年間でいくつかの優れた開発を行いました。 website から、Burpは次のことができます。

  • 双方向で通過するすべてのHTTP/Sトラフィックをインターセプトおよび変更します。
  • 要求と応答の構文の自動カラー化、Webコンテンツのレンダリング、AMFなどのシリアル化スキームの解析により、あらゆる種類のコンテンツを簡単に分析できます。
  • 細かいルールを適用して、手動テストのためにインターセプトするリクエストとレスポンスを決定します。
  • 高度なフィルターと検索機能を使用して、詳細なプロキシ履歴のすべてのトラフィックを表示します。
  • シングルクリックで興味深いアイテムを他のBurp Suiteツールに送信します。
  • すべての作業を保存し、後で作業を再開します。
  • HTTPメッセージ内の興味深いコンテンツをすばやく検索して強調表示します。
  • カスタムSSL証明書と非プロキシ対応クライアントを操作します。
  • 手動の介入なしに要求と応答を自動的に変更するルールを定義します。

そして私は間違いなくげっぷスイート全体をお勧めします!

6
Rory Alsop

Firefoxアドオン ライブHTTPヘッダー を使用して、それらを表示および再生できます。

4
James T

ParosとBurpは、最も一般的な2つのオープンソースオプションです。 Burpの商用バージョンも入手可能です。どちらもJavaで記述されています。

3
chs

Fiddler HTTPデバッグ プロキシは何年も前から存在しており、積極的に維持されています。トラフィックの傍受と変更、カスタム要求の作成、要求の再生が可能で、完全にスクリプト化および拡張可能です。これはWindows専用のツールです。

また、パッシブおよびアクティブなセキュリティテスト用の extensions もあります。免責事項-私はそれらを共同執筆しました。

3
Weber

Owaspは Web Scarab というツールをリリースしました

2
Lareau

Paros ProxyとBurpはどちらもプロキシとして機能し、HTTPリクエストとHTTPレスポンスを傍受して変更することができます。

2
Crunge

私はパロス、ウェブスカラバ、げっぷを多用してきましたが、げっぷは勝ちです。無料版もありますが、完全版も年間150ポンドと非常にお得です。

1
David Taylor

MITMプロキシが好き: http://mitmproxy.org/

(注意してください。同じ名前の別のプロジェクトがあります。)

こういうのが好きなら、それは本当に無駄のないインターフェース(ncursesのように見える)を持っています。それは他の多くと同じキャプチャ/表示/編集/再生機能を持っていますが、それは非常にキーボードフレンドリーです。 SSL接続をプロキシすることもできます。

0
Mark E. Haase

(これまで見逃されてきたように)追加するだけです。Firefoxを使用している場合、Raul Silesによって作成された「Samurai Web Testing Framework」というコレクションがあり、コレクションに含まれるすべてのクールなwebapp-sec関連プラグインが付属しています。 - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/

0
Mark Hillick

まれなケースですが、HTTPストリームを介して生データを処理するために、wfetch(別の無料の download MSから)を使用する必要がありました。特定の問題は、他のほとんどすべてのツール、特にプロキシとブラウザプラグインが、印刷不可能な文字を必ずURLエンコードすることであり、時には、そのchr(9)を送信したいだけなのです...

0
AviD