Я тестирую свое приложение в отношении безопасности.
Помимо Fiddler, Charles и Poster (подключен Firefox). Есть ли какие-либо другие бесплатные приложения для перехвата (и редактирования) https? Особенно те, которые могут быть установлены без привилегий администратора.
Ахиллес приходит на ум, но я не думаю, что он может обрабатывать трафик https.
Ахиллес работает над трафиком HTTPS, но на своем сайте они отмечают, что это не лучший инструмент.
Их предложения Burp Suite и WebScarab оба из которых я очень рекомендую.
OWASP ZAP - его свободная, открытая и перекрестная платформа.
Он также является самым активным инструментом веб-безопасности с открытым исходным кодом и стал первым и вторым в последних двух опросах "Лучшие средства безопасности", которые запускаются Toolswatch.org(2013, 2014)
Первоначально он был вилок от Paros, который больше не поддерживается, но теперь он имеет больше функциональности.
Его флагманский проект OWASP заменил WebScarab, который также по существу больше не поддерживается.
Саймон (руководитель проекта ZAP)
Wireshark удивительно. Он захватывает все в сети, поэтому вам нужно отфильтровать до http/https: http://wiki.wireshark.org/CaptureFilters.
Выполняя больше исследований, я столкнулся с Paros Proxy. Кажется, это хорошая альтернатива другие.
Есть несколько программ, которые я бы предложил.
Paros Proxy и Ratproxy уже отмечены.
scapy - мощный инструмент для обработки пакетов, а также обладает всеми возможностями нюхания и мониторинга. dsniff - это набор инструментов, которые позволяют манипулировать, впрыскивать и всевозможные способы перехвата и модификации.
Существует также плагин для IE, называемый Tamper IE, который имеет простой редактор пакетов на основе графического интерфейса.
Все это бесплатно.
Я настоятельно рекомендую HttpWatch. Я считаю, что базовая версия бесплатна и фиксирует ваш трафик HTTPS в некоторой степени. Профессиональная версия стоит денег.
Посмотрите ratproxy. Возможно, это не совсем то, о чем вы просите, но очень полезно при тестировании безопасности вашего веб-приложения.
Вместо того, чтобы перехватывать HTTP и разрешать вам редактировать или воспроизводить запросы, он устанавливается как прокси-сервер и контролирует нормальное использование вашего веб-приложения, а затем предоставляет отчет о возможных проблемах безопасности и их серьезности. Он также может быть настроен на попытки активных атак XSS или XSRF, где он считает, что существует уязвимость.
Сайт говорит: "В настоящее время Ratproxy поддерживает Linux, FreeBSD, MacOS X и Windows (Cygwin)", но я использовал его только в Linux.
Отметьте HTTP Debugger Pro
Это решение без прокси-сервера и имеет нулевое воздействие на передаваемые данные.
Также он имеет современный пользовательский интерфейс:)