Skip to main content
  1. Blogposts/

Webbproxyer: din nyckel till sĂ€kerhetstestning av webbapplikationer 📚

·642 words·4 mins· loading · · ·
Rasmus
Author
Rasmus
Att dela en ide eller tvÄ kan vara bra för hjÀrnan
Table of Contents

Vi lever i en vÀrld dÀr webb- och mobilapplikationer stÀndigt kommunicerar med servrar i bakgrunden. Precis som pÄ en restaurang dÀr kockarna och servitörerna mÄste samarbeta smidigt för att ge dig den bÀsta upplevelsen, mÄste frontend och backend i en applikation fungera perfekt tillsammans. Men hur testar vi egentligen att denna kommunikation Àr sÀker? Svaret ligger i kraftfulla verktyg som webbproxyer.

Varför Webbproxyer Är SĂ€kerhetstestarens BĂ€sta VĂ€n
#

En webbproxy fungerar som en “man-in-the-middle” – inte pĂ„ ett skadligt sĂ€tt, utan som en observatör och testare. Den fĂ„ngar upp alla HTTP/HTTPS-förfrĂ„gningar (vanligtvis pĂ„ port 80 och 443) som skickas mellan din webblĂ€sare och servern.

TÀnk pÄ det som att ha en tolk mellan tvÄ personer som pratar olika sprÄk. Tolken kan inte bara översÀtta konversationen, utan ocksÄ notera om nÄgot sÀgs som inte borde sÀgas eller om det finns farliga undertoner.

Skillnaden Mellan Webbproxyer och Vanliga NĂ€tverkssniffare
#

Medan verktyg som Wireshark kan se all nÀtverkstrafik, Àr webbproxyer specialiserade pÄ just webbtrafik. De gör det enkelt att:

  • Spela in enskilda förfrĂ„gningar
  • Ändra innehĂ„llet i dessa förfrĂ„gningar
  • Skicka om dem till servern
  • Analysera svaren

De TvÄ Ledande Webbproxy-Verktygen
#

NÀr det kommer till webbproxyer finns det tvÄ tydliga ledare pÄ marknaden:

1. Burp Suite
#

  • Stort ekosystem med mĂ„nga tillĂ€gg
  • Har en kommersiell Pro-version med extra funktioner
  • Gratisversionen Ă€r Ă€ndĂ„ mycket kraftfull
  • Mer moget grĂ€nssnitt och arbetsflöden

2. OWASP ZAP
#

  • Helt öppen kĂ€llkod (gratis)
  • Inga funktionsbegrĂ€nsningar
  • VĂ€xande community
  • MĂ„nga “pro-funktioner” utan kostnad

Att kunna bĂ„da verktygen ger dig flexibilitet – du kan anvĂ€nda ZAP för grundlĂ€ggande testning och Burp nĂ€r du behöver mer avancerade funktioner.

Praktisk Guide: SÄ AnvÀnder Du En Webbproxy
#

1. GrundinstÀllningar
#

BÄde Burp Suite och OWASP ZAP startar en lokal proxy (standard pÄ 127.0.0.1:8080). För att komma igÄng snabbt:

  • AnvĂ€nd den förkonfigurerade webblĂ€saren som följer med verktygen (proxy och certifikat Ă€r redan installerade)
  • För din vanliga webblĂ€sare:
    • StĂ€ll in manuell proxy till rĂ€tt port
    • Eller anvĂ€nd FoxyProxy-tillĂ€gget för enkel vĂ€xling
    • Glöm inte att installera verktygets CA-certifikat – annars kommer du inte kunna se krypterad trafik!

2. FĂ„nga och Modifiera Trafik
#

HÀr Àr magin med webbproxyer:

I Burp Suite:
#

GĂ„ till Proxy → Intercept → slĂ„ pĂ„ “Intercept is on”

I OWASP ZAP:
#

AnvÀnd de gröna/röda pausknapparna eller tryck Ctrl + B

NÀr en begÀran pausas kan du:

  • LĂ€sa headers, cookies och request body
  • Ändra parametervĂ€rden
  • LĂ€gga till eller ta bort headers
  • Manipulera data innan den skickas vidare

3. Vanliga Testscenarier
#

HÀr Àr nÄgra exempel pÄ vad du kan testa:

  1. SQL-injektion: Ändra en parameter frĂ„n user=1 till user=1' OR '1'='1
  2. Kommandoinjektion: Testa att lÀgga till systemkommandon i parametrar
  3. XSS: Prova att injicera JavaScript-kod i inmatningsfÀlt
  4. Autentiseringstest: Manipulera session cookies eller tokens

Ett konkret exempel:

  1. Pausa en POST-förfrÄgan till /ping
  2. Ändra parametern frĂ„n ip=1 till ;ls;
  3. Skicka vidare begÀran
  4. Om servern returnerar en fillista har du hittat en kommandoinjektionssÄrbarhet!

Sammanfattning: Detta Bör Du Ta Med Dig
#

Webbproxyer Àr absolut nödvÀndiga för modern sÀkerhetstestning av webbapplikationer. De ger dig full insyn i trafiken mellan klient och server och möjliggör aktiv manipulation för att hitta sÄrbarheter.

Viktiga lĂ€rdomar: ✅ RĂ€tt instĂ€llningar kommer först – utan korrekt proxykonfiguration och certifikatinstallation ser du ingenting ✅ Burp Suite vs OWASP ZAP – bĂ„da Ă€r utmĂ€rkta, valet beror pĂ„ dina behov och budget ✅ Testcykeln Ă€r nyckeln:

  1. FĂ„nga trafik
  2. Modifiera innehÄll
  3. Skicka vidare
  4. Analysera resultat

Genom att behĂ€rska dessa verktyg sparar du inte bara tid – du avslöjar ocksĂ„ potentiellt kritiska sĂ€kerhetsbrister som annars skulle gĂ„ obemĂ€rkta förbi.

Nu Ă€r det din tur! VĂ€lj ett av dessa verktyg, installera det och börja utforska trafiken frĂ„n dina favoritwebbplatser (förstĂ„s endast de du har tillĂ„telse att testa). Varje gĂ„ng du hittar en intressant begĂ€ran, pausa den, studera den, experimentera – det Ă€r sĂ„ man lĂ€r sig bĂ€st.

Vilken webbproxy föredrar du? Har du nÄgra favoritfunktioner eller tips? Dela med dig i kommentarerna!