Как работает перехват и модификация HTTP-запроса «на лету» при отправке?

Question

[AEM02]

Кодером я не являюсь, но хотелось бы узнать некоторые технические моменты.
Допустим, что я хочу отправить HTTP-запрос, но с некоторой подменой данных.
Как реализуется следующая схема, точнее, как осуществляется перехват и подмена?
Генерация HTTP - запроса браузером - перехват и подмена (допустим, что добавляется лишний пробел в заголовке) - отправка.

Answer 1

[Михаил Р.]

Классический вариант перехвата на лету, это использование MitM (Man-in-the-Middle) прокси:
1. Хулиганами настраивается MitM прокси, например на WiFi точке в очкоВкусе.
2. OS использует п1 для выхода в сеть.
3. Программа (браузер в Вашем случае) отправляет http запрос, который пройдет через п2.
4. MitM прокси модифицирует трафик, идущий от п3 и отправляет его дальше.
5. Сервер получает модифицированный трафик от п3.

В обратном порядке это так же работает, когда отправляются куки, сессии итп. Если софт не предусматривает подобный вектор атак, то условно, правами доступа к конфиденциальной информации на сервере сможете воспользоваться не только Вы, но и хозяин той само WiFi точки из п2.

Вижу тег Python, тогда вот пример MitM библиотеки - Python MitM.

Answer 2

[Steel_Balls]

Изучи протокол HTTP и Postman тебе в помощь

Comments

[Vitsliputsli]

Для перехвата и редактирования запросов браузера все таки удобнее расширение в браузере, чем Postman

[Михаил Р.]

Vitsliputsli,

Для перехвата и редактирования запросов браузера все таки удобнее расширение в браузере, чем Postman

Для перехвата и редактирования любых запросов на уровне OS (а не только браузера) все таки удобнее Wireshark или Fiddler, чем расширение в браузере или Postman.

[Vitsliputsli]

Михаил Р., любых - да, но запросов именно браузера проще в нем же, меньше телодвижений, тем более если используется шифрование.

[Михаил Р.]

Vitsliputsli, проще иметь 1 полноценную программу, с 1 функционалом и интерфейсом, на завися от источников трафика.

тем более если используется шифрование

Тем более.

[Vitsliputsli]

Михаил Р., кому как, если не занимаетесь ежедневно перехватом и модернизацией запросов по разным протоколам, то универсальный инструмент вроде Fiddler не особо то и нужен, и узко специализированное решение будет проще.