Ответ 1
Ахиллес работает над трафиком HTTPS, но на своем сайте они отмечают, что это не лучший инструмент.
Их предложения Burp Suite и WebScarab оба из которых я очень рекомендую.
Существуют ли какие-либо инструменты перехвата HTTP/HTTPS, кроме Fiddler, Charles, Poster и Achilles?
Я тестирую свое приложение в отношении безопасности.
Помимо Fiddler, Charles и Poster (подключен Firefox). Есть ли какие-либо другие бесплатные приложения для перехвата (и редактирования) https? Особенно те, которые могут быть установлены без привилегий администратора.
Ахиллес приходит на ум, но я не думаю, что он может обрабатывать трафик https.
Ответы
Ответ 2
OWASP ZAP - его свободная, открытая и перекрестная платформа.
Он также является самым активным инструментом веб-безопасности с открытым исходным кодом и стал первым и вторым в последних двух опросах "Лучшие средства безопасности", которые запускаются Toolswatch.org(2013, 2014)
Первоначально он был вилок от Paros, который больше не поддерживается, но теперь он имеет больше функциональности.
Его флагманский проект OWASP заменил WebScarab, который также по существу больше не поддерживается.
Саймон (руководитель проекта ZAP)
Ответ 3
Wireshark удивительно. Он захватывает все в сети, поэтому вам нужно отфильтровать до http/https: http://wiki.wireshark.org/CaptureFilters.
Ответ 4
Выполняя больше исследований, я столкнулся с Paros Proxy. Кажется, это хорошая альтернатива другие.
Ответ 5
Есть несколько программ, которые я бы предложил.
Paros Proxy и Ratproxy уже отмечены.
scapy - мощный инструмент для обработки пакетов, а также обладает всеми возможностями нюхания и мониторинга. dsniff - это набор инструментов, которые позволяют манипулировать, впрыскивать и всевозможные способы перехвата и модификации.
Существует также плагин для IE, называемый Tamper IE, который имеет простой редактор пакетов на основе графического интерфейса.
Все это бесплатно.
Ответ 6
Я настоятельно рекомендую HttpWatch. Я считаю, что базовая версия бесплатна и фиксирует ваш трафик HTTPS в некоторой степени. Профессиональная версия стоит денег.
Ответ 7
Посмотрите ratproxy. Возможно, это не совсем то, о чем вы просите, но очень полезно при тестировании безопасности вашего веб-приложения.
Вместо того, чтобы перехватывать HTTP и разрешать вам редактировать или воспроизводить запросы, он устанавливается как прокси-сервер и контролирует нормальное использование вашего веб-приложения, а затем предоставляет отчет о возможных проблемах безопасности и их серьезности. Он также может быть настроен на попытки активных атак XSS или XSRF, где он считает, что существует уязвимость.
Сайт говорит: "В настоящее время Ratproxy поддерживает Linux, FreeBSD, MacOS X и Windows (Cygwin)", но я использовал его только в Linux.
Ответ 8
Отметьте HTTP Debugger Pro
Это решение без прокси-сервера и имеет нулевое воздействие на передаваемые данные.
Также он имеет современный пользовательский интерфейс:)