web-dev-qa-db-ja.com

Fiddler、Charles、Poster、Achilles以外のHTTP / HTTPSインターセプトツールはありますか?

現在、セキュリティに関してアプリケーションをテストしています。

FiddlerCharles および Poster (Firefoxプラグイン)は別として。他に無料でhttpsインターセプト(および編集)アプリケーションを使用できますか?特に、管理者権限なしでインストールできるもの。

アキレスが頭に浮かぶが、httpsトラフィックを処理できるとは思わない。

25
IaCoder

AchillesはHTTPSトラフィックで機能しますが、彼らは自分のサイトでそれがもはや最良のツールではないことを指摘しています。

彼らの提案は Burp SuiteWebScarab の両方ですが、どちらも強くお勧めします。

17
CalvinTreg

OWASP ZAP -その無料のオープンソースおよびクロスプラットフォーム。

また、最もアクティブなオープンソースのWebセキュリティツールであり、Toolswatch.orgが実行した最後の2つの「トップセキュリティツール」調査で1位と2位を獲得しました( 2012014

もともとは維持されなくなったParosから分岐したものですが、現在はより多くの機能がロードされています。

そのOWASPフラッグシッププロジェクトはWebScarabに取って代わりましたが、これもまた本質的にはもはや維持されていません。

Simon(ZAPプロジェクトリーダー)

8
Simon Bennetts

Wireshark は素晴らしいです。ネットワーク上のすべてをキャプチャするので、http/https: http://wiki.wireshark.org/CaptureFilters までフィルタリングする必要があります。

3
Corbin March

私が遭遇したより多くの研究を行う Paros Proxy 。他の人に代わる良い方法のようです。

1
IaCoder

私が提案するいくつかのプログラムがあります。

Paros ProxyとRatproxyはすでに言及されています。

scapy は強力なパケット操作ツールであり、スニッフィングおよび監視機能もすべて備えています。 dsniff は、操作、注入、およびあらゆる種類の傍受および変更オプションを可能にするツールのスイートです。

IEと呼ばれる Tamper IE のプラグインもあり、シンプルなGUIベースのパケットエディタがあります。

これらはすべて無料です。

1
CalvinTreg

チェック HTTP Debugger Pro

これはプロキシを使用しないソリューションであり、データ転送への影響はありません。

また、モダンなユーザーインターフェイスも備えています。

0
Khachatur

ratproxy をご覧ください。それはあなたが求めているものとは正確には違うかもしれませんが、あなたのウェブアプリのセキュリティをテストするのに非常に役立ちます。

HTTPをインターセプトしてリクエストを編集または再生できるようにする代わりに、HTTPをプロキシとしてインストールし、Webアプリの通常の使用を監視してから、起こり得るセキュリティ問題とその重大度に関するレポートを提供します。また、脆弱性があると思われるアクティブなXSSまたはXSRF攻撃を試みるように構成することもできます。

「Ratproxyは現在、Linux、FreeBSD、MacOS X、およびWindows(Cygwin)環境をサポートしていると信じられています」とサイトには書いてありますが、私はLinuxでのみ使用しました。

0
TimB

HttpWatch を強くお勧めします。基本バージョンは無料で、HTTPSトラフィックをある程度キャプチャできると思います。プロフェッショナル版はお金の価値があります。

0