wake-up-neo.com

Gibt es andere HTTP/HTTPS-Überwachungstools als Fiddler, Charles, Poster und Achilles?

Ich bin dabei, meine Anwendung in Bezug auf die Sicherheit zu testen.

Abgesehen von Fiddler , Charles und Poster (Firefox-Plug-In). Gibt es noch andere kostenlose https-Abfang- (und Bearbeitungs) anwendungen? Insbesondere solche, die ohne Administratorrechte installiert werden können.

Achilles fällt mir ein, aber ich glaube nicht, dass er mit https-Verkehr umgehen kann.

25
IaCoder

Achilles arbeitet zwar mit HTTPS-Datenverkehr, stellt jedoch auf ihrer Website fest, dass es nicht mehr das beste Werkzeug ist.

Ihre Vorschläge sind Burp Suite und WebScarab beide empfehle ich sehr.

15
CalvinTreg

OWASP ZAP - seine freie, Open Source- und Cross-Plattform.

Es ist auch das aktivste Open-Source-Web-Sicherheitstool. Es wurde das erste und zweite in den letzten 2 "Top Security Tools" -Umfragen von Toolswatch.org ( 2013 , 2014 ).

Es wurde ursprünglich von Paros gegabelt, was nicht mehr gepflegt wird, aber es bietet jetzt mehr Funktionalität.

Es ist ein OWASP-Flaggschiffprojekt, das WebScarab ersetzt hat, das im Wesentlichen nicht mehr gewartet wird.

Simon (ZAP-Projektleiter)

8
Simon Bennetts

Wireshark ist erstaunlich. Es erfasst alles im Netzwerk, sodass Sie bis zu http/https: http://wiki.wireshark.org/CaptureFilters filtern müssen.

3
Corbin March

Weitere Nachforschungen, auf die ich gestoßen bin, sind Paros Proxy . Scheint eine gute Alternative zu den Anderen zu sein.

1
IaCoder

Es gibt einige Programme, die ich vorschlagen würde.

Paros Proxy und Ratproxy wurden bereits zur Kenntnis genommen.

scapy ist ein leistungsfähiges Paketmanipulationswerkzeug und verfügt über alle Funktionen zum Schnüffeln und Überwachen. dsniff ist eine Suite von Tools, die Manipulation, Injektion und alle Arten des Abfangens ermöglichen und Änderungsoptionen.

Es gibt auch ein Plugin für IE namens Tamper IE , das über einen einfachen GUI-basierten Paketeditor verfügt.

Alle sind kostenlos.

1
CalvinTreg

Check HTTP Debugger Pro

Diese Lösung ist ohne Proxy und hat keine Auswirkungen auf die übertragenden Daten.

Es hat auch eine moderne Benutzeroberfläche :)

0
Khachatur

Schau mal unter ratproxy nach. Es ist möglicherweise nicht genau das, wonach Sie fragen, aber es ist sehr nützlich, um die Sicherheit Ihrer Web-App zu testen.

Anstatt HTTP abzufangen und es Ihnen zu ermöglichen, Anforderungen zu bearbeiten oder wiederzugeben, wird es als Proxy installiert und überwacht die normale Verwendung Ihrer Web-App. Anschließend wird ein Bericht über mögliche Sicherheitsprobleme und deren Schweregrad ausgegeben. Es kann auch so konfiguriert werden, dass es aktive XSS- oder XSRF-Angriffe versucht, bei denen eine Sicherheitslücke vermutet wird.

Die Website sagt, "derzeit wird angenommen, dass Ratproxy Linux-, FreeBSD-, MacOS X- und Windows-Umgebungen (Cygwin) unterstützt", aber ich habe es nur unter Linux verwendet.

0
TimB

Ich würde HttpWatch dringend empfehlen. Ich glaube, dass die Basisversion kostenlos ist und Ihren HTTPS-Verkehr einigermaßen erfasst. Die Professional-Version ist das Geld wert.

0