Domanda Tra server e client

[peppejk10]

Buonasera. Ho bisogno del vostro aiuto.
È possibile alterare / modificare o reindirizzare ad altro URL la risposta di un server?
Vi faccio un esempio.
Sono su un sito web, eseguo una richiesta, il server manda la risposta, ma prima che arrivi a me, voglio analizzarla e nel caso in cui la risposta soddisfi le mie esigenze la lascio "passare" per poter arrivare sul client; se la risposta non mi vabène e non volessi farla arrivare sul client, posso reindirizzarla o disfarmene in qualche maniera ?
In poche parole come se in mezzo tra client e server ci fosse un proxy ( o un qualcosa del genere) che mi blocca l entrata della response per poterla analizzare e gestirla.
Uso già fiddler ma nonostante l utilizzo di breakpoint , non riesco nel mio intento. Spero di essermi spiegato nel miglio modo possibile. Grazie mille

 

[JunkCoder]

Quello che stai cercando di fare si chiama Man-in-the-middle. Se quello che vuoi analizzare e modificare sono richieste HTTP con SSL sarà necessario farlo a livello applicativo sul PC stesso (es. estensione del browser, driver di sistema, minifilter...), se non c'è crittografia puoi anche farlo a livello di rete come fosse un firewall. Questo perché per decidere se "far sparire" la richiesta è necessario leggerne il contenuto (anche la query string dell'URL è cifrata).

In ogni caso essendo l'analisi da realizzare su misura in base al formato di risposta del server, non ci possono essere strumenti già pronti che lo facciano in automatico, dovresti programmarlo ad hoc. Tuttalpiù potresti trovare qualche strumento come la vecchia estensione Tamper Data per Firefox che ad ogni richiesta ti chiede se vuoi scartarla o modificarla. Ho usato fiddler ma solo per monitorare il traffico passivamente, non so dirti come e se è possibile alterare al volo le richieste con questo software.

 

[peppejk10]

Quello che stai cercando di fare si chiama Man-in-the-middle. Se quello che vuoi analizzare e modificare sono richieste HTTP con SSL sarà necessario farlo a livello applicativo sul PC stesso (es. estensione del browser, driver di sistema, minifilter...), se non c'è crittografia puoi anche farlo a livello di rete come fosse un firewall. Questo perché per decidere se "far sparire" la richiesta è necessario leggerne il contenuto (anche la query string dell'URL è cifrata).

In ogni caso essendo l'analisi da realizzare su misura in base al formato di risposta del server, non ci possono essere strumenti già pronti che lo facciano in automatico, dovresti programmarlo ad hoc. Tuttalpiù potresti trovare qualche strumento come la vecchia estensione Tamper Data per Firefox che ad ogni richiesta ti chiede se vuoi scartarla o modificarla. Ho usato fiddler ma solo per monitorare il traffico passivamente, non so dirti come e se è possibile alterare al volo le richieste con questo software.

Grazie per la risposta, ma tutto ciò che mi hai scritto lo posso attuare alle richieste partenti dal client e non alle risposte date dal server. A me serve proprio capire come stoppare le response del server, e dopo averle analizzate, poter scegliere se farle arrivare al client o no.

 

[Psychonaut]

puoi fare un esmpio delle due richieste? usare curl?

 

[peppejk10]

puoi fare un esmpio delle due richieste? usare curl?

Faccio un esempio banalissimo. Mi trovo su un sito web dove dovrò rispondere a delle domande . Le risposte ad ogni domanda sono tre, ognuna con una casella da spuntare eventualmente. Una sola è quella corretta. Quindi abbiamo casella A, casella B e casella C.
Spuntando ad esempio la A, parte la richiesta al server, il quale risponderà se la casella spuntata è corretta o meno. Io vorrei intercettare questa risposta, analizzarla e se è quella corretta, la farei arrivare al client ; se la risposta è sbagliata invece vorrei far si che essa non arrivi al client per non segnalare l errore sul questionario.

 

[0xbro]

Una cosa del genere la puoi fare con Burpsuite o con qualsiasi altro proxy (ZAP per fare un altro nome). By default questi programmi intercettano solo le richieste, puoi però impostarli che intercettino anche le risposte del server. Se il tuo intento però è quello di "barare" per scoprire le risposte giuste, non sono sicuro che possa essere una soluzione, perchè quando la richiesta viene generata dal server i dati sono già stati elaborati e forse salvati, le risposte del server sono solo aggiornamenti grafici alla pagina e alterano solo il comportamento del client, non intaccano in alcun modo il server stesso

 

[hck2009]

Una cosa del genere la puoi fare con Burpsuite o con qualsiasi altro proxy (ZAP per fare un altro nome). By default questi programmi intercettano solo le richieste, puoi però impostarli che intercettino anche le risposte del server. Se il tuo intento però è quello di "barare" per scoprire le risposte giuste, non sono sicuro che possa essere una soluzione, perchè quando la richiesta viene generata dal server i dati sono già stati elaborati e forse salvati, le risposte del server sono solo aggiornamenti grafici alla pagina e alterano solo il comportamento del client, non intaccano in alcun modo il server stesso

Leggendo il codice sorgente, forse da li può trovare qualcosa di interessante...anche se ne dubito molto...perché dipende da come é stato realizzato.

 

[peppejk10]

Niente da fare. Non ne vengo a capo. Magari posso provare a modificare la richiesta facendo si che il server sia "costretto" in qualche modo a darmi la risposta che desidero? Chissà..

 

[Psychonaut]

Niente da fare. Non ne vengo a capo. Magari posso provare a modificare la richiesta facendo si che il server sia "costretto" in qualche modo a darmi la risposta che desidero? Chissà..

Non credo, se il server non può rispondre alla richiesta non lo fa e basta. prova ad analizzare il sorgente come detto da @hck2009 magari ci trovi dei commenti interessanti riguardo le risposte