it-swarm-korea.com

HTTP 요청을 가로 채고 수정하려면 어떻게해야합니까?

테스트를 위해 HTTP 요청을 가로 채고 수정할 수있는 무료 도구가 있습니까?

사용자 지정 HTTP 헤더를 보낼 수있는 도구를 찾고 있습니다.

15
James T

나는 개인적으로 Fiddler의 일부이며 MS의 무료 download 입니다.
다른 훌륭한 대화 형 http 프록시가 많이 있지만 그 중 하나가 가장 좋습니다.

16
AviD

위에서 언급 한 것처럼 요청과 응답을 가로 채고 수정할 수있는 여러 가지 HTTP 프록시가 있습니다.

내가 아는 것의 목록은 다음과 같습니다.

  • WebScarab (면책 조항 : 작성했습니다)
  • 파로스
  • 트림
  • ZAP (Z 공격 프록시-업데이트 된 Paros 버전)
  • 피들러/피들러 2
  • 아킬레스
  • HTTPush
  • 출애굽기 (면책 조항 : 나는 그것을 썼다. 그리고 그것은 정말로 오래되었다)

자신의 가로 채기 프록시를 작성하려면 필요한 모든 HTTP 프로토콜 기능을 구현하는 라이브러리 Java 라이브러리) 인 OWASP 프록시를 살펴보고 싶을 필요가 없습니다.

11
Rogan Dawes

얼마 전 나는 Tamper Data Firefox Add-on을 사용하여 매우 효과적이라는 것을 알았습니다. 변조하려는 요청을 선택할 수있는 것과 같은 유용한 기능이 있으며 필드 값을 채우는 데 사용할 수있는 사전 정의 된 악용도 있습니다.

alt text

10
Mark Davidson

트림은 이제 바위입니다. Portswigger는 지난 2 년 동안 훌륭한 발전을 이루었습니다. website 에서 Burp는 ​​다음을 수행 할 수 있습니다.

  • 양방향으로 전달되는 모든 HTTP/S 트래픽을 가로 채고 수정하십시오.
  • 요청 및 응답 구문의 자동 채색, 웹 컨텐츠 렌더링 및 AMF와 같은 직렬화 체계의 구문 분석을 통해 모든 종류의 컨텐츠를 쉽게 분석 할 수 있습니다.
  • 세부적인 규칙을 적용하여 수동 테스트를 위해 어떤 요청과 응답을 가로 챌지를 결정하십시오.
  • 고급 필터 및 검색 기능을 통해 자세한 프록시 기록의 모든 트래픽을 볼 수 있습니다.
  • 한 번의 클릭으로 다른 Burp Suite 도구에 재미있는 항목을 보내십시오.
  • 모든 작업을 저장하고 나중에 다시 작업하십시오.
  • HTTP 메시지 내에서 흥미로운 컨텐츠를 빠르게 검색하고 강조 표시합니다.
  • 사용자 정의 SSL 인증서 및 비 프록시 인식 클라이언트로 작업하십시오.
  • 수동 개입없이 요청 및 응답을 자동으로 수정하는 규칙을 정의하십시오.

그리고 나는 전체 트림 스위트를 확실히 추천 할 것입니다!

6
Rory Alsop

Firefox 애드온 Live HTTP Headers 를 사용하여 보거나 재생할 수 있습니다.

4
James T

Paros와 Burp은 가장 일반적인 오픈 소스 옵션입니다. 상용 버프 버전도 있습니다. 둘 다 Java로 작성되었습니다.

3
chs

Fiddler HTTP 디버깅 프록시는 오랫동안 사용되어 왔으며 활발하게 유지됩니다. 트래픽의 차단 및 수정, 사용자 지정 요청 작성, 요청 재생이 가능하며 완전히 스크립팅 가능하고 확장 가능합니다. Windows 전용 도구입니다.

또한 수동 및 능동 보안 테스트를 위해 extensions 가 있습니다. 면책 조항-나는 그것들을 공동 작성했습니다.

3
Weber

Owasp는 Web Scarab

2
Lareau

Paros Proxy와 Burp는 ​​모두 프록시 역할을하므로 HTTP 요청 및 응답을 가로 채고 수정할 수 있습니다.

2
Crunge

나는 Paros, webscarab 및 burp를 광범위하게 사용했으며 burp은 손을 down습니다. 무료 버전이 있지만 정식 버전은 연간 £ 150로 매우 가치가 있습니다.

1
David Taylor

나는 MITM 프록시를 좋아한다 : http://mitmproxy.org/

(같은 이름의 다른 프로젝트가 있습니다.)

그런 종류의 것을 좋아한다면 정말 마른 인터페이스 (ncurses처럼 보입니다)가 있습니다. 그것은 많은 다른 것과 같은 캡처 /보기/편집/재생 기능을 가지고 있지만 매우 키보드 친화적입니다. 또한 SSL 연결을 프록시 할 수 있습니다!

0
Mark E. Haase

Firefox를 사용하는 경우 Raul Siles가 만든 "Samurai Web Testing Framework"라는 컬렉션이 있으며 여기에는 컬렉션에 포함 된 모든 멋진 webapp-sec 관련 플러그인이 포함되어 있습니다. - https://addons.mozilla.org/en-US/firefox/collections/rsiles/samurai/ .

0
Mark Hillick

드문 경우이지만 HTTP 스트림에서 원시 바이트를 처리하기 위해 wfetch (MS에서 다른 무료 download )를 사용해야했습니다. 구체적인 문제는 거의 모든 다른 도구, 특히 프록시 및 브라우저 플러그인이 인쇄 할 수없는 문자를 URL 인코딩해야한다는 것입니다. 그리고 때로는 chr (9)를 보내려고합니다.

0
AviD