Dwa główne powody, z których używam (głównie) Fiddlera.
Dlaczego używam Fiddlera
Po pierwsze ergonomiczne GUI, zwłaszcza w porównaniu z WebScarab czy Burp Proxy. W szczególności:
- duży obszar roboczy,
- responsywność,
- kolorowanie listy sesji,
- możliwość oznaczania konkretnych sesji (request, response),
- możliwość komentowania konkretnych sesji,
- funkcje wyszukiwania w liście sesji,
- kolorowanie składni,
- prosty replay żądania,
Szczególnie istotne są dla mnie wszelkiego rodzaju usprawnienia wizualne. Nie ma co ukrywać, jestem wzrokowcem i pewne rzeczy po prostu łatwiej zauważam, gdy kod HTML czy lista sesji jest kolorowana.
Po drugie możliwość rozszerzania funkcji programu. Oczywiście zarówno WebScarab, jak i Burp Proxy również pozwalają na rozszerzanie funkcji narzędzia, ale jakoś bardziej przemawia do mnie sposób, w jaki zostało to rozwiązane w Fiddler (zwłaszcza FiddlerScript do szybkich skryptów usprawniających pracę). Sporym wzmocnieniem jest również rozszerzenie Watcher. Muszę tylko jeszcze raz przyjrzeć się jak można dopisywać testy do niego, bo poprzednia próba zakończyła się niepowodzeniem.
Tak, Fiddler nie jest narzędziem, które zostało stworzone z myślą o testowaniu bezpieczeństwa aplikacji internetowych, więc kilku narzędzi w nim brakuje. Wystarczy wspomnieć o narzędziu do analizy losowości identyfikatorów (głównie sesji, choć nie tylko), czy spiderze. Ale nie jest to wielki problem, po prostu puszczam Burp Proxy przez Fiddlera. Fiddler nie zawiera również aktywnego skanera, choćby takiego jak wbudowany w Burpa Burp Scaner czy Burp Intruder.
