MITM Proxy - Attacking / Debugging Proxyleri

Web Güvenliği ile uğraşıyorsanız iki tane iyi dostunuz vardır.

Birincisi Tarayıcınız, bu genelde gelişmiş extension desteğinden dolayı Firefox.

İkincisi ise, MITM Proxy' niz. Bu Proxy' lerin adam gibi bir adı var mı bilmiyorum ama genelde şu isimler altında görülüyorlar,

• MITM (Man in the Middle) Proxy
• Attacking Proxy
• Debugging Proxy (eğer proxy genelde web geliştiricileri için tasarlandıysa genelde bu isim kullanılıyor)

İsim önemli değil, içeriği önemli deyip, devam edelim.

Benim şahsi seçimim açık ara farkla SPI Dynamics' ten SPI Proxy' ydi. Ancak son zamanlardaki lisans sorunları yüzünden yeni bir tane aramaktayım.

Elimizde şunlar var,

• Tamper Data (Firefox Extension' ı)
• Burp
• Fiddler (daha çok geliştiricilere yönelik)
• WebScarab
• WebScarab Nextgen (WebScarab' ın bir nevi forku)
• Odysseus (C++ olması bir avantaj, özellikle kendinizi Pentium 100 bir sistemde pen test yaparken bulunca)
• Suru (Ücretli ama zeki bir proxy)

Bana sorarsanız yukarıdakiler hepsi birbirinden feci. SPI Proxy özellikle de WI 7 ile gelen versiyonu çok daha bariz bir şekilde iyi ancak lisans ve ücretleme olarak kişisel kullanıma uygun değil.

Bunun yanında eskiden Watchfire' ın ücretsiz bir proxy' si vardı Watchfire Tools içerisinde gelen sanırım artık dağıtmıyorlar. Kendi kopyamıda kaybettim (bunların hala dağıtıldığı bir adres varsa ve biliyorsanız yorumlardan bildirin lütfen). Tamam kabul etmek gerekirki bunların hepsi Spike gibi proxy' lerden sonra bir nimet ama daha iyisinin yapılabileceğiniz bilmek bunları kullanmayı bana işkence haline getiriyor.

Sizin seçiminiz hangisi?