我正在测试我的应用程序的安全性。
除了Fiddler,Charles和Poster(Firefox插件)。有没有其他免费使用https拦截(和编辑)应用程序?特别是那些可以安装w / o管理员权限的。
阿基里斯想到了,但我认为它无法处理https流量。
答案 0 :(得分:16)
Achilles确实可以处理HTTPS流量,但他们在网站上注意到它不再是最好的工具。
他们的建议是Burp Suite和WebScarab,我强烈推荐这些建议。
答案 1 :(得分:8)
OWASP ZAP - 它的免费,开源和跨平台。
它也是最活跃的开源网络安全工具,在Toolswatch.org(2013,2014)运行的最后2个“顶级安全工具”调查中排在第一和第二位
它最初是从Paros派生的,不再维护,但它现在有更多的功能。
它的OWASP旗舰项目取代了WebScarab,基本上不再维护。
Simon(ZAP项目负责人)
答案 2 :(得分:3)
Wireshark太棒了。它会捕获网络上的所有内容,因此您需要过滤到http / https:http://wiki.wireshark.org/CaptureFilters。
答案 3 :(得分:1)
我做了更多研究Paros Proxy。似乎是一个很好的替代品 其他
答案 4 :(得分:1)
我建议有一些程序。
已经注意到Paros Proxy和Ratproxy。
scapy是一个功能强大的数据包操作工具,并具有所有的嗅探和监控功能。 dsniff是一套工具,允许操作,注入和各种拦截和修改选项。
还有一个名为Tamper IE的IE插件,它有一个简单的基于GUI的数据包编辑器。
所有这些都是免费的。
答案 5 :(得分:0)
我强烈推荐HttpWatch。我相信基本版本是免费的,并在某种程度上捕获您的HTTPS流量。专业版是物有所值。
答案 6 :(得分:0)
看看ratproxy。它可能不是您要求的,但在测试Web应用程序的安全性方面非常有用。
它不是拦截HTTP并允许您编辑或重播请求,而是作为代理安装并监控Web应用程序的正常使用,然后提供有关可能的安全问题及其严重性的报告。它还可以配置为在认为存在漏洞的情况下尝试活动的XSS或XSRF攻击。
该网站称“目前认为Ratproxy支持Linux,FreeBSD,MacOS X和Windows(Cygwin)环境”,但我只在Linux上使用它。
答案 7 :(得分:0)