🖥 Репозиторий: Smuggler — тестирование HTTP-запросов
HTTP-запрос — это атака, которая может привести к серьезным последствиям при взаимодействии веб-сайта с сервером в браузере.
Smuggler — это бесплатный инструмент с открытым исходным кодом, который можно найти на GitHub.
— Этот инструмент используется для проведения атаки контрабандой HTTP-запросов на домен.
⏺ Ссылка на GitHub (https://github.com/defparam/smuggler)
#HTTP
@hackernews_lib
HTTP-запрос — это атака, которая может привести к серьезным последствиям при взаимодействии веб-сайта с сервером в браузере.
Smuggler — это бесплатный инструмент с открытым исходным кодом, который можно найти на GitHub.
— Этот инструмент используется для проведения атаки контрабандой HTTP-запросов на домен.
⏺ Ссылка на GitHub (https://github.com/defparam/smuggler)
#HTTP
@hackernews_lib
🤣7🤡4🤨1🤓1
🖥 Репозиторий: hstspreload — проверка сайта на HSTS preload
hstspreload — это библиотека, которая позволяет проверить, находится ли сайт в списке HSTS preload.
HSTS (HTTP Strict Transport Security) — механизм, принудительно активирующий защищённое соединение через протокол HTTPS.
— Проверка выполняется офлайн, без использования сторонних сервисов.
⏺ Ссылка на GitHub (https://github.com/sethmlarson/hstspreload)
#HSTS #HTTP
@hackernews_lib
hstspreload — это библиотека, которая позволяет проверить, находится ли сайт в списке HSTS preload.
HSTS (HTTP Strict Transport Security) — механизм, принудительно активирующий защищённое соединение через протокол HTTPS.
— Проверка выполняется офлайн, без использования сторонних сервисов.
⏺ Ссылка на GitHub (https://github.com/sethmlarson/hstspreload)
#HSTS #HTTP
@hackernews_lib
💩1
🖥 Репозиторий: SSLstrip — инструмент проведения MITM-атак
SSLstrip — инструмент, который реализует атаку «человек посередине» (MITM) на HTTPS.
— Он незаметно перехватывает HTTP-трафик в сети, следит за HTTPS-ссылками и редиректами, а затем сопоставляет эти ссылки их HTTP-двойникам или омографически сходным HTTPS-ссылкам.
Принцип работы:
Злоумышленник занимает позицию между пользователем и предполагаемым веб-сайтом (обычно через незащищённую публичную сеть) и перехватывает начальный HTTPS-запрос пользователя
Вместо того чтобы позволить браузеру установить безопасное соединение по протоколу HTTPS, злоумышленник перенаправляет запрос на версию сайта, обслуживаемую по протоколу HTTP. (https://www.ssldragon.com/ru/blog/ssl-stripping/)
В результате злоумышленник нарушает безопасное рукопожатие, которое обычно устанавливает шифрование между браузером и веб-сайтом
⏺ Ссылка на GitHub (https://github.com/moxie0/sslstrip?ysclid=mk191j68cn519156459)
#Attack #MITM #SSL #HTTP #Network #Python
@hackernews_lib
SSLstrip — инструмент, который реализует атаку «человек посередине» (MITM) на HTTPS.
— Он незаметно перехватывает HTTP-трафик в сети, следит за HTTPS-ссылками и редиректами, а затем сопоставляет эти ссылки их HTTP-двойникам или омографически сходным HTTPS-ссылкам.
Принцип работы:
Злоумышленник занимает позицию между пользователем и предполагаемым веб-сайтом (обычно через незащищённую публичную сеть) и перехватывает начальный HTTPS-запрос пользователя
Вместо того чтобы позволить браузеру установить безопасное соединение по протоколу HTTPS, злоумышленник перенаправляет запрос на версию сайта, обслуживаемую по протоколу HTTP. (https://www.ssldragon.com/ru/blog/ssl-stripping/)
В результате злоумышленник нарушает безопасное рукопожатие, которое обычно устанавливает шифрование между браузером и веб-сайтом
⏺ Ссылка на GitHub (https://github.com/moxie0/sslstrip?ysclid=mk191j68cn519156459)
#Attack #MITM #SSL #HTTP #Network #Python
@hackernews_lib
💩1
🖥 Репозиторий: Fiddler — бесплатный веб-отладочный прокси, который позволяет захватывать HTTP- и HTTPS-трафик
Fiddler Classic — это инструмент веб-отладки, который отслеживает, проверяет, редактирует и регистрирует весь HTTPS-трафик в Windows.
Основные возможности:
1. Перехват и логирование трафика: захватывает HTTP/HTTPS‑трафик, ведёт журнал с использованием самостоятельно заверенных сертификатов (дляHTTPS‑декодирования);
2. Редактирование сетевых сеансов: установка точек останова (breakpoints)для приостановки запросов, ручное изменение запросов и ответов, автоматизация через скрипты(FiddlerScript).
3. Анализ данных: удетальный просмотр заголовковзапросов/ответов, анализ тела сообщений (JSON, XML идр.), фильтрация трафика по доменам идругим критериям;
4. Тестирование производительности: замеры времени выполнения запросов, создание сценариев нагрузки;
5. Интеграция: совместимость с инструментами длятестирования API (например, Postman), возможность включения вCI/CD‑процессы.
⏺ Репозиторий на GitHub (https://github.com/telerik/fiddler-docs?ysclid=mkqkksfj8x119763773)
⏺ Официальный сайт (https://www.telerik.com/fiddler/fiddler-classic/documentation/introduction)
⏺ Fiddler = удобный сниффер + прокси сервер (https://habr.com/ru/articles/554562/?ysclid=mkqkn6oai5309561075)
⏺ Захват трафика с помощью Fiddler Classic (https://www.telerik.com/fiddler/fiddler-classic/documentation/observe-traffic/capturewebtraffic)
⏺ Захват трафика на macOS, Linux и Windows с помощью (https://telerik.com/fiddler/fiddler-everywhere)Fiddler Everywhere (https://telerik.com/fiddler/fiddler-everywhere)
⏺ Захват и анализ трафика HTTP/2 и TLS1.3 с помощью (https://telerik.com/fiddler/fiddler-everywhere/documentation)Fiddler Everywhere (https://telerik.com/fiddler/fiddler-everywhere/documentation)
⏺ Захват и анализ HTTPS-трафика вместе с MCP с помощью (https://telerik.com/fiddler/fiddler-everywhere/documentation/mcp-server/fiddler-mcp-server)Fiddler Everywhere (https://telerik.com/fiddler/fiddler-everywhere/documentation/mcp-server/fiddler-mcp-server)
#Windows #Scanner #Network #HTTP
@hackernews_lib
Fiddler Classic — это инструмент веб-отладки, который отслеживает, проверяет, редактирует и регистрирует весь HTTPS-трафик в Windows.
Основные возможности:
1. Перехват и логирование трафика: захватывает HTTP/HTTPS‑трафик, ведёт журнал с использованием самостоятельно заверенных сертификатов (дляHTTPS‑декодирования);
2. Редактирование сетевых сеансов: установка точек останова (breakpoints)для приостановки запросов, ручное изменение запросов и ответов, автоматизация через скрипты(FiddlerScript).
3. Анализ данных: удетальный просмотр заголовковзапросов/ответов, анализ тела сообщений (JSON, XML идр.), фильтрация трафика по доменам идругим критериям;
4. Тестирование производительности: замеры времени выполнения запросов, создание сценариев нагрузки;
5. Интеграция: совместимость с инструментами длятестирования API (например, Postman), возможность включения вCI/CD‑процессы.
⏺ Репозиторий на GitHub (https://github.com/telerik/fiddler-docs?ysclid=mkqkksfj8x119763773)
⏺ Официальный сайт (https://www.telerik.com/fiddler/fiddler-classic/documentation/introduction)
⏺ Fiddler = удобный сниффер + прокси сервер (https://habr.com/ru/articles/554562/?ysclid=mkqkn6oai5309561075)
⏺ Захват трафика с помощью Fiddler Classic (https://www.telerik.com/fiddler/fiddler-classic/documentation/observe-traffic/capturewebtraffic)
⏺ Захват трафика на macOS, Linux и Windows с помощью (https://telerik.com/fiddler/fiddler-everywhere)Fiddler Everywhere (https://telerik.com/fiddler/fiddler-everywhere)
⏺ Захват и анализ трафика HTTP/2 и TLS1.3 с помощью (https://telerik.com/fiddler/fiddler-everywhere/documentation)Fiddler Everywhere (https://telerik.com/fiddler/fiddler-everywhere/documentation)
⏺ Захват и анализ HTTPS-трафика вместе с MCP с помощью (https://telerik.com/fiddler/fiddler-everywhere/documentation/mcp-server/fiddler-mcp-server)Fiddler Everywhere (https://telerik.com/fiddler/fiddler-everywhere/documentation/mcp-server/fiddler-mcp-server)
#Windows #Scanner #Network #HTTP
@hackernews_lib
🔥1💩1
🖥 Репозиторий: HTTP Toolkit — открытый веб-прокси для отладки и тестирования веб-приложений и API
HTTP Toolkit — позволяет разработчикам перехватывать, просматривать и изменять HTTP-запросы и ответы на этапе их прохождения между браузером или приложением и сервером
Основные функции:
1. проверка всего HTTP-трафика между клиентом и сервером, включая заголовки, параметры, файлы cookie и содержимое тела;
2. имитация серверов и конечных точек для симуляции ответов;
3. изменение запросов и ответов на лету;
4. функция воспроизведения для повторной отправки запросов;
5. экспорт запросов для фрагментов кода или модульных тестов;
6. обработка SSL-сертификатов, перехват HTTPS;
7. поддержка распространённых веб-технологий, таких как REST, JSON, XML, веб-сокеты и другие.
— Он может отлаживать трафик с мобильных устройств, веб-приложений, настольных приложений, инструментов командной строки и других
⏺ Ссылка на GitHub (https://github.com/httptoolkit/httptoolkit)
⏺ Официальный сайт (https://httptoolkit.com/)
#HTTP #Network
@hackernews_lib
HTTP Toolkit — позволяет разработчикам перехватывать, просматривать и изменять HTTP-запросы и ответы на этапе их прохождения между браузером или приложением и сервером
Основные функции:
1. проверка всего HTTP-трафика между клиентом и сервером, включая заголовки, параметры, файлы cookie и содержимое тела;
2. имитация серверов и конечных точек для симуляции ответов;
3. изменение запросов и ответов на лету;
4. функция воспроизведения для повторной отправки запросов;
5. экспорт запросов для фрагментов кода или модульных тестов;
6. обработка SSL-сертификатов, перехват HTTPS;
7. поддержка распространённых веб-технологий, таких как REST, JSON, XML, веб-сокеты и другие.
— Он может отлаживать трафик с мобильных устройств, веб-приложений, настольных приложений, инструментов командной строки и других
⏺ Ссылка на GitHub (https://github.com/httptoolkit/httptoolkit)
⏺ Официальный сайт (https://httptoolkit.com/)
#HTTP #Network
@hackernews_lib
👍1
🖥 Репозиторий: Requestly — API-клиент с HTTP-перехватчиком, модификациями и тестированием
Requestly — это инструмент для веб-разработчиков, который позволяет перехватывать, анализировать и модифицировать HTTP-трафик прямо на лету.
— Он доступен как в виде расширения для браузеров (Chrome, Firefox, Edge), так и в виде полноценного десктопного приложения для Windows, macOS и Linux.
Функции:
1. Замена API-ответов, перенаправление URL-адресов и создание API-заглушек позволяют разработчикам тестировать функциональность независимо от бэкенда;
2. Обеспечивает гибкость в тестировании и отладке;
3. Захват и модификация трафика HTTPS с iOS и Android устройств упрощает кросс-платформенное тестирование;
4. Интеграция с GraphQL позволяет легко изменять и имитировать запросы и ответы GraphQL;
5. Запись сессий с сетевыми логами, логами консоли и действиями пользователя помогает в отладке и создании отчётов об ошибках;
6. Позволяет быстро создавать и использовать API-заглушки в коде, CI/CD и автоматизации;
7. Совместная работа в режиме реального времени с помощью общих рабочих пространств для команд упрощает совместную работу;
8. Экспорт данных и синхронизация с Git позволяют управлять конфигурациями в системе контроля версий.
⏺ Ссылка на GitHub (https://github.com/requestly/requestly)
⏺ Как легко сделать подмену данных на вебе? (https://habr.com/ru/articles/773390/?ysclid=mkz1xxc8ut901083306)
⏺ Requestly: гайд для тестировщиков (https://habr.com/ru/companies/kts/articles/957518/?ysclid=mkz1yp1da5619870932)
#HTTP #Network #Requestly
@hackernews_lib
Requestly — это инструмент для веб-разработчиков, который позволяет перехватывать, анализировать и модифицировать HTTP-трафик прямо на лету.
— Он доступен как в виде расширения для браузеров (Chrome, Firefox, Edge), так и в виде полноценного десктопного приложения для Windows, macOS и Linux.
Функции:
1. Замена API-ответов, перенаправление URL-адресов и создание API-заглушек позволяют разработчикам тестировать функциональность независимо от бэкенда;
2. Обеспечивает гибкость в тестировании и отладке;
3. Захват и модификация трафика HTTPS с iOS и Android устройств упрощает кросс-платформенное тестирование;
4. Интеграция с GraphQL позволяет легко изменять и имитировать запросы и ответы GraphQL;
5. Запись сессий с сетевыми логами, логами консоли и действиями пользователя помогает в отладке и создании отчётов об ошибках;
6. Позволяет быстро создавать и использовать API-заглушки в коде, CI/CD и автоматизации;
7. Совместная работа в режиме реального времени с помощью общих рабочих пространств для команд упрощает совместную работу;
8. Экспорт данных и синхронизация с Git позволяют управлять конфигурациями в системе контроля версий.
⏺ Ссылка на GitHub (https://github.com/requestly/requestly)
⏺ Как легко сделать подмену данных на вебе? (https://habr.com/ru/articles/773390/?ysclid=mkz1xxc8ut901083306)
⏺ Requestly: гайд для тестировщиков (https://habr.com/ru/companies/kts/articles/957518/?ysclid=mkz1yp1da5619870932)
#HTTP #Network #Requestly
@hackernews_lib
💩2
🖥 Репозиторий: Arjun — быстрый поиск HTTP‑параметров
Arjun — это инструмент для обнаружения скрытых HTTP-параметров.
— Он автоматизирует процесс перечисления GET и POST параметров, выполняет фаззинг и помогает идентифицировать потенциальные поверхности атаки.
⏺ Ссылка на GitHub (https://github.com/s0md3v/Arjun?ysclid=mlpichd96x208925564)
#HTTP #Network #OSINT #Fuzzing
@hackernews_lib
Arjun — это инструмент для обнаружения скрытых HTTP-параметров.
— Он автоматизирует процесс перечисления GET и POST параметров, выполняет фаззинг и помогает идентифицировать потенциальные поверхности атаки.
⏺ Ссылка на GitHub (https://github.com/s0md3v/Arjun?ysclid=mlpichd96x208925564)
#HTTP #Network #OSINT #Fuzzing
@hackernews_lib
💩1
🖥 Репозиторий: graftcp — Прозрачный прокси-клиент для перенаправления TCP-трафика любого приложения
graftcp — это мощная утилита на языке Go для систем Linux, которая позволяет «на лету» перенаправлять весь TCP-трафик выбранных процессов через SOCKS5-прокси или SSH-туннель.
— В отличие от системных VPN, которые маршрутизируют весь трафик ОС, graftcp использует механизм LD_PRELOAD, чтобы перехватывать вызовы connect() конкретных программ. Это позволяет тебе избирательно отправлять трафик командной строки, старых приложений или любого другого процесса через прокси, даже если сам процесс не поддерживает такую функцию.
⏺ Ссылка на GitHub (https://github.com/hmgle/graftcp)
#Network #Proxy #Linux #Privacy #Socks #SSH #TCP #HTTP |
@hackernews_lib
graftcp — это мощная утилита на языке Go для систем Linux, которая позволяет «на лету» перенаправлять весь TCP-трафик выбранных процессов через SOCKS5-прокси или SSH-туннель.
— В отличие от системных VPN, которые маршрутизируют весь трафик ОС, graftcp использует механизм LD_PRELOAD, чтобы перехватывать вызовы connect() конкретных программ. Это позволяет тебе избирательно отправлять трафик командной строки, старых приложений или любого другого процесса через прокси, даже если сам процесс не поддерживает такую функцию.
⏺ Ссылка на GitHub (https://github.com/hmgle/graftcp)
#Network #Proxy #Linux #Privacy #Socks #SSH #TCP #HTTP |
@hackernews_lib
👍4🤔1