Yes EchoMirage is good tool for interception. The problem with the tool is that you can&#39;t exceed your payloads more than the size of the original variable. That doesn&#39;t give the flexibility to try longer payloads. The size is fixed.<br>
Correct if I am wrong<br><br><div class="gmail_quote">On Tue, Aug 17, 2010 at 6:09 PM, Robin Tiwari <span dir="ltr">&lt;<a href="mailto:tiwari.robin@gmail.com">tiwari.robin@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br><br>
<div class="gmail_quote"><br>
<div>Dear Padma;</div>
<div> </div>
<div>For the exe client , the echo mirage tool is best to intercept the data from client to server. May i know what is issue with this tool with you ?</div>
<div> </div>
<div> </div>
<div><br><br> </div>
<div class="gmail_quote"><div><div></div><div class="h5">
<div>
<div></div>
<div>On Tue, Aug 17, 2010 at 12:40 PM, <span dir="ltr">&lt;<a href="mailto:padmasriramiyer@hsbc.co.in" target="_blank">padmasriramiyer@hsbc.co.in</a>&gt;</span> wrote:<br></div></div>
</div></div><blockquote class="gmail_quote" style="padding-left: 1ex; margin: 0px 0px 0px 0.8ex; border-left: 1px solid rgb(204, 204, 204);"><br><font size="2" face="sans-serif">Firstly thanks All for the quick responses. </font><br>
<br><font size="2" face="sans-serif">I tried Echo Mirage, wireshark and ITR, but scope became very limited. I would definitely try out the other options suggested. </font><br>
<br><font size="2" face="sans-serif">I found another tool JavaSnoop, but i think we can only snoop a jar file. My app is an exe client. Has anybody worked on it? Any suggestions about it?</font> <br>
<div><br><br><font size="2" face="Arial">Best regards,</font> <br><font size="2" color="red" face="Arial"><b>Padma Sriram Iyer</b> </font><br><font size="1" face="Arial">Senior Security Analyst <br>GLT Information Security Risk <br>

HSBC Technology and Services - Global Technology</font> <br><font size="1" color="red" face="Arial">_______________________________________________________________________<br></font><br><font size="1" color="#4f4f4f" face="Arial">Phone.     91 20 6642 2285<br>

Tieline.     71 91 20 2285</font> <br><font size="1" color="#4f4f4f" face="Arial">Email.       </font><a href="mailto:padmasriramiyer@hsbc.co.in" target="_blank"><font size="1" color="red" face="Arial"><u>padmasriramiyer@hsbc.co.in</u></font></a> <br>

<font size="1" color="red" face="Arial">_______________________________________________________________________</font> <br><br><br></div>
<table width="100%">
<tbody>
<tr valign="top">
<td><font size="1" color="#5f5f5f" face="sans-serif">From:</font> 
</td><td><font size="1" face="sans-serif">Dharmesh M Mehta &lt;<a href="mailto:Dharmesh.Mehta@mastek.com" target="_blank">Dharmesh.Mehta@mastek.com</a>&gt;</font> 
</td></tr><tr valign="top">
<td><font size="1" color="#5f5f5f" face="sans-serif">To:</font> 
</td><td><font size="1" face="sans-serif">Padma Sriram IYER/ITD GLT/HSDI/HSBC@HSBC03, &quot;<a href="mailto:owasp-delhi@lists.owasp.org" target="_blank">owasp-delhi@lists.owasp.org</a>&quot; &lt;<a href="mailto:owasp-delhi@lists.owasp.org" target="_blank">owasp-delhi@lists.owasp.org</a>&gt;</font> 
</td></tr><tr valign="top">
<td><font size="1" color="#5f5f5f" face="sans-serif">Date:</font> 
</td><td><font size="1" face="sans-serif">17/08/10 04:47 PM</font> 
</td></tr><tr valign="top">
<td><font size="1" color="#5f5f5f" face="sans-serif">Subject:</font> 
</td><td><font size="1" face="sans-serif">RE: [Owasp-delhi] Thick client security testing</font></td></tr></tbody></table><br>
<hr noshade>

<div>
<div></div>
<div><br><br><br><font size="2" color="#004080" face="Calibri">Hi Padma,</font> <br><font size="2" color="#004080" face="Calibri"> </font> <br><font size="2" color="#004080" face="Calibri">I have personally found Echo Mirage tool useful for security testing of a thick client application. </font><br>

<font size="2" color="#004080" face="Calibri">Like a proxy tool for testing web application, Echo Mirage can be used to intercept and modify the request from the client to the server and perform most of your validation related attacks.</font> <br>

<font size="2" color="#004080" face="Calibri"> </font> <br><font size="2" color="#004080" face="Calibri"> </font> <br><font size="2" color="#004080" face="Calibri">Thanks &amp; Regards,</font> <br><font size="2" color="#004080" face="Calibri"> </font> <br>

<font size="2" color="#004080" face="Calibri">Dharmesh Mehta, CISSP</font> <br><font size="1" color="#5f5f5f" face="Trebuchet MS">Security Specialist - Technology Engineering &amp; Consulting Group</font> <br><font size="1" color="#e12000" face="Trebuchet MS">Mastek Ltd </font><font size="1" color="#5f5f5f" face="Trebuchet MS">| MNDC, MBP Mahape, Navi Mumbai, India | (T) 91 22 6791 4646 Extn - 5469 | Mobile: 91 9730002132</font> <br>

<a href="http://smartsecurity.blogspot.com/" target="_blank"><font size="1" color="blue" face="Trebuchet MS"><u>http://smartsecurity.blogspot.com</u></font></a> <br><font size="2" color="#004080" face="Calibri"> </font> <br>

<font size="2" face="Tahoma"><b>From:</b> <a href="mailto:owasp-delhi-bounces@lists.owasp.org" target="_blank">owasp-delhi-bounces@lists.owasp.org</a> [</font><a href="mailto:owasp-delhi-bounces@lists.owasp.org" target="_blank"><font size="2" face="Tahoma">mailto:owasp-delhi-bounces@lists.owasp.org</font></a><font size="2" face="Tahoma">] <b>On Behalf Of </b><a href="mailto:padmasriramiyer@hsbc.co.in" target="_blank">padmasriramiyer@hsbc.co.in</a><b><br>

Sent:</b> Tuesday, August 17, 2010 10:11 AM<b><br>To:</b> <a href="mailto:owasp-delhi@lists.owasp.org" target="_blank">owasp-delhi@lists.owasp.org</a>; <a href="mailto:owasp-delhi-bounces@lists.owasp.org" target="_blank">owasp-delhi-bounces@lists.owasp.org</a><b><br>

Subject:</b> [Owasp-delhi] Thick client security testing</font> <br><font size="3" face="Times New Roman"> </font> <br><font size="2" face="Arial"><br>Hi guys,</font><font size="3" face="Times New Roman"> <br></font><font size="2" face="Arial"><br>

Can anyone please guide me how to proceed with security testing of Java application i.e. a thick client?</font><font size="3" face="Times New Roman"> </font><font size="2" face="Arial"><br></font><font size="3" face="Times New Roman"><br>

</font><font size="2" face="Arial"><br>Best regards,</font><font size="3" face="Times New Roman"> </font><font size="2" color="red" face="Arial"><b><br>Padma Sriram Iyer</b> </font><font size="1" face="Arial"><br>Senior Security Analyst <br>

GLT Information Security Risk <br>HSBC Technology and Services - Global Technology</font><font size="3" face="Times New Roman"> </font><font size="1" color="red" face="Arial"><br>_______________________________________________________________________</font><font size="3" face="Times New Roman"><br>

</font><font size="1" color="#4f4f4f" face="Arial"><br>Phone.     91 20 6642 2285<br>Tieline.     71 91 20 2285</font><font size="3" face="Times New Roman"> </font><font size="1" color="#4f4f4f" face="Arial"><br>Email.       </font><a href="mailto:padmasriramiyer@hsbc.co.in" target="_blank"><font size="1" color="red" face="Arial"><u>padmasriramiyer@hsbc.co.in</u></font></a><font size="3" face="Times New Roman"> </font><font size="1" color="red" face="Arial"><br>

_______________________________________________________________________<br><br>************************************************************<br>HSBC Software Development (India) Pvt Ltd<br>HSBC Center Riverside,West Avenue ,<br>

25 B Kalyani Nagar Pune  411 006 INDIA<br><br>Telephone: +91 20 26683000<br>Fax: +91 20 26681030<br>************************************************************</font><font size="3" face="Times New Roman"><br>----------------------------------------- ******************************************************************* This e-mail is confidential. It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return e-mail. Internet communications cannot be guaranteed to be timely, secure, error or virus-free. The sender does not accept liability for any errors or omissions. ******************************************************************* &quot;SAVE PAPER - THINK BEFORE YOU PRINT!&quot; </font></div>

</div>
<p>
</p><table>
<tbody>
<tr>
<td bgcolor="white"></td></tr></tbody></table><br><font size="3" face="Times New Roman"> </font> 
<p></p><div><div></div><div class="h5">
<div>
<div></div>
<div>
<div>
<div></div>
<div><font size="3"><br></font>
<table>
<tbody>
<tr>
<td bgcolor="white"><font size="3"><br>MASTEK LTD.<br>In the US, we&#39;re called MAJESCOMASTEK<br><br>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br>Opinions expressed in this e-mail are those of the individual and not that of Mastek Limited, unless specifically indicated to that effect. Mastek Limited does not accept any responsibility or liability for it. This e-mail and attachments (if any) transmitted with it are confidential and/or privileged and solely for the use of the intended person or entity to which it is addressed. Any review, re-transmission, dissemination or other use of or taking of any action in reliance upon this information by persons or entities other than the intended recipient is prohibited. This e-mail and its attachments have been scanned for the presence of computer viruses. It is the responsibility of the recipient to run the virus check on e-mails and attachments before opening them. If you have received this e-mail in error, kindly delete this e-mail from desktop and server.<br>

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~</font></td></tr></tbody></table></div></div></div></div>
</div></div><p>
</p><hr>

<p></p><div><div></div><div class="h5">
<div>
<div></div>
<div><font size="3"><b>******************************************************************<br>This message originated from the Internet. Its originator may or may not be who<br>they claim to be and the information contained in the message and any<br>

attachments may or may not be accurate.<br>******************************************************************</b></font> 
<div>
<p>
</p><p><font size="2" face="sans-serif"><br><br>************************************************************<br>HSBC Software Development (India) Pvt Ltd<br>HSBC Center Riverside,West Avenue ,<br>25 B Kalyani Nagar Pune  411 006 INDIA<br>

<br>Telephone: +91 20 26683000<br>Fax: +91 20 26681030<br>************************************************************<br></font>----------------------------------------- ******************************************************************* This e-mail is confidential. It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return e-mail. Internet communications cannot be guaranteed to be timely, secure, error or virus-free. The sender does not accept liability for any errors or omissions. ******************************************************************* &quot;SAVE PAPER - THINK BEFORE YOU PRINT!&quot; </p>


<p></p>
<p></p></div>
<p></p>
<p></p>
<p></p>
<p></p><br></div></div>
</div></div><div class="im"><div>_______________________________________________<br>Owasp-delhi mailing list<br><a href="mailto:Owasp-delhi@lists.owasp.org" target="_blank">Owasp-delhi@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-delhi" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-delhi</a><br>

<br></div>
<p></p>
<p></p>
<p></p>
<p></p></div></blockquote></div><font color="#888888"><br><br clear="all"><br>-- <br>Thanks &amp; Regards<br><br>Robin Tiwari<br>Security Anlayst<br><br></font></div><br><br clear="all"><br>-- <br>Thanks &amp; Regards<br>

<br>Robin Tiwari<br>Security Anlayst<br><br>
<br>_______________________________________________<br>
Owasp-delhi mailing list<br>
<a href="mailto:Owasp-delhi@lists.owasp.org">Owasp-delhi@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-delhi" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-delhi</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><font style="color: rgb(0, 0, 0);" size="2">Thanks &amp; Regards,<br>Nilesh Kumar,<br>Engineer-Security Analyst<span></span><span></span><br><a href="http://nileshkumar83.blogspot.com" target="_blank">http://nileshkumar83.blogspot.com</a><br>
<a href="http://linkedin.com/in/nileshkumar83" target="_blank">http://linkedin.com/in/nileshkumar83</a></font> <font style="color: rgb(0, 0, 0);" size="2"><br>Mobile- +91-9019076487</font><br><u><font color="#ff0000">                             <b>      <font size="2"> Honeywell</font></b></font></u><br>
<font color="#006600">Honeywell Technology Solutions Lab</font><br><br>