Existe-il des outils d'interception HTTP/HTTPS autres que Fiddler, Charles, Poster et Achilles?

Question

Je suis en train de tester mon application en ce qui concerne la sécurité.

En dehors de Fiddler , Charles et Poster (plug-in Firefox). Existe-t-il d'autres applications d'interception (et d'édition) https gratuites? Surtout ceux qui peuvent être installés sans privilèges d'administrateur.

On pense à Achilles, mais je ne pense pas qu'il puisse gérer le trafic https.

CalvinTreg · Accepted Answer

Achilles fonctionne sur le trafic HTTPS, mais ils notent sur leur site que ce n'est plus le meilleur outil.

Leurs suggestions sont Burp Suite et WebScarab que je recommande vivement.

Simon Bennetts · Answer

OWASP ZAP - son libre, open source et multiplateforme.

Il est également l’outil de sécurité Web open source le plus actif et est arrivé premier et deuxième dans les deux dernières enquêtes "Top Security Tools" menées par Toolswatch.org ( 2013 , 2014 )

Il a été créé à l'origine à partir de Paros, qui n'est plus maintenu, mais il dispose désormais de plus de fonctionnalités.

C'est un projet phare de l'OWASP ayant remplacé WebScarab, qui n'est plus essentiellement maintenu.

Simon (chef de projet ZAP)

Corbin March · Answer

Wireshark est incroyable. Il capture tout sur le réseau, vous devez donc filtrer jusqu'à http/https: http://wiki.wireshark.org/CaptureFilters .

IaCoder · Answer

En faisant plus de recherches je suis tombé sur Paros Proxy . Semble être une bonne alternative aux autres.

CalvinTreg · Answer

Je suggérerais quelques programmes.

Paros Proxy et Ratproxy ont déjà été notés.

scapy est un puissant outil de manipulation de paquets, qui possède également toutes les fonctionnalités de détection et de surveillance. dsniff est une suite d’outils qui permet la manipulation, l’injection et toutes sortes d’interceptions et de modifications.

Il existe également un plugin pour IE appelé Tamper IE qui possède un simple éditeur de paquets basé sur une interface graphique.

Tous sont gratuits.

Khachatur · Answer

Vérifiez HTTP Debugger Pro

C'est une solution sans proxy et n'a aucun impact sur les données transférées.

En outre, il a une interface utilisateur moderne :)

TimB · Answer

Regardez ratproxy . Ce n'est peut-être pas exactement ce que vous demandez, mais il est très utile pour tester la sécurité de votre application Web.

Plutôt que d'intercepter HTTP et de vous permettre de modifier ou de relire les demandes, il s'installe en tant que proxy et surveille l'utilisation normale de votre application Web, puis fournit un rapport sur les problèmes de sécurité possibles, ainsi que leur gravité. Il peut également être configuré pour tenter des attaques XSS ou XSRF actives lorsqu'il pense qu'il existe une vulnérabilité.

Le site dit "On pense actuellement que Ratproxy supporte les environnements Linux, FreeBSD, MacOS X et Windows (Cygwin)" mais je ne l’ai utilisé que sous Linux.

Gabriel Isenberg · Answer

Je recommande fortement HttpWatch . Je crois que la version de base est gratuite et capture votre trafic HTTPS dans une certaine mesure. La version professionnelle vaut de l'argent.