2008-10-15 17 views
21

Estoy en el proceso de probar mi aplicación con respecto a la seguridad.¿Hay otras herramientas de interceptación HTTP/HTTPS que no sean Fiddler, Charles, Poster y Achilles?

Aparte de Fiddler, Charles y Poster (complemento de Firefox). ¿Hay alguna otra aplicación de intercepción (y edición) de https gratuita? Especialmente los que se pueden instalar sin privilegios de administrador.

Achilles viene a la mente, pero no creo que pueda manejar el tráfico https.

+0

FWIW, puede xcopy-deploy Fiddler; en realidad no requiere administrador. – EricLaw

+0

haha ​​cus tu tema conocí algunos más como estos ahora;) ty – STEEL

+0

Ahora hay una alternativa de código abierto: https://github.com/james-proxy/james –

Respuesta

15

Achilles funciona en el tráfico HTTPS, pero señalan en su sitio que ya no es la mejor herramienta.

Sus sugerencias son Burp Suite y WebScarab de los cuales recomiendo encarecidamente.

+0

+1 para la suite burp. Altamente efectivo, intuitivo y gratis. – Lotus

+0

En lugar de [WebScarab] (https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project) debería usar [ZAProxy] (https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project). Vea el primer enlace para obtener información. –

0

Recomiendo encarecidamente HttpWatch. Creo que la versión básica es gratuita y captura su tráfico HTTPS hasta cierto punto. La versión profesional vale la pena el dinero.

1

Haciendo más investigación encontré Paros Proxy. Parece ser una buena alternativa al otros.

0

Eche un vistazo a ratproxy. Puede que no sea exactamente lo que estás pidiendo, pero es muy útil para probar la seguridad de tu aplicación web.

En lugar de interceptar HTTP y permitirle editar o reproducir solicitudes, se instala como un proxy y supervisa el uso normal de su aplicación web, y luego proporciona un informe sobre posibles problemas de seguridad, junto con su gravedad. También se puede configurar para intentar ataques XSS o XSRF activos donde cree que hay una vulnerabilidad.

El sitio dice que "Ratproxy actualmente se cree que admite entornos Linux, FreeBSD, MacOS X y Windows (Cygwin)", pero solo lo he usado en Linux.

1

Hay algunos programas que sugeriría.

Paros Proxy y Ratproxy ya se han observado.

scapy es una poderosa herramienta de manipulación de paquetes, y también posee todas las capacidades de rastreo y monitoreo. dsniff es un conjunto de herramientas que permite la manipulación, inyección y todo tipo de opciones de interceptación y modificación.

También hay un complemento para IE llamado Tamper IE que tiene un editor de paquetes basado en GUI simple.

Todos estos son gratuitos.

+0

+1 para scapy. Una impresionante biblioteca de inspección de paquetes de bajo nivel para Python. – Lotus

0

Comprobar HTTP Debugger Pro

Es una solución proxy-menos y tienen un impacto cero a los datos que transfieren.

También tiene una interfaz de usuario moderna :)

+0

Solo para lectores de características que se encuentran en esta página: 'interaciato de usuario moderno' significa una copia de cinta en este caso (al igual que Microsoft Office) ... –

+0

no solo :) Viene con un 'control de informe' que permite agrupar, filtrar y ordenar sesiones http y obtener estadísticas rápidas para sesiones seleccionadas (tamaño por dominios, por tipos de contenido, estadísticas gzip, etc.). ¿Alguna vez lo ejecutó antes de publicar su comentario sobre la cinta? – Khachatur

8

OWASP ZAP - es gratis, de código abierto y multiplataforma.

También es la herramienta de seguridad de código abierto más activo y llegó primero y segundo en las encuestas de los últimos 2 'Top herramientas de seguridad' a cargo de Toolswatch.org (2013, 2014)

Se bifurcó originalmente de Paros, que ya no se mantiene, pero ahora tiene mucha más funcionalidad.

Es un proyecto emblemático de OWASP que reemplazó a WebScarab, que en esencia ya no se mantiene.

Simon (líder del proyecto ZAP)

Cuestiones relacionadas