【功能】
WebScarab是一個(gè)用來(lái)分析使用HTTP和HTTPS協(xié)議的應(yīng)用程序框架。其原理很簡(jiǎn)單,WebScarab可以記錄它檢測(cè)到的會(huì)話內(nèi)容(請(qǐng)求和應(yīng)答),并允許使用者可以通過多種形式來(lái)查看記錄。WebScarab的設(shè)計(jì)目的是讓使用者可以掌握某種基于HTTP(S)程序的運(yùn)作過程;可以用它來(lái)調(diào)試程序中較難處理的bug,也可以幫助安全專家發(fā)現(xiàn)潛在的程序漏洞。
【適用對(duì)象】
分析使用HTTP和HTTPS協(xié)議的應(yīng)用程序框架
1.1.1 工具安裝
WebScarab需要在
java環(huán)境下運(yùn)行,因此在安裝WebScarab前應(yīng)先安裝好java環(huán)境(JRE或JDK均可)。
安裝好jdk后,右擊安裝文件:webscarab-installer-20070504-1631.jar 選擇“打開方式”如下圖:
然后進(jìn)入安裝界面,下一步下一步安裝即可。
1.1.2 功能原理
webscarab工具的主要功能:它可以獲取客戶端提交至服務(wù)器的http請(qǐng)求消息,并以圖形化界面顯示,支持對(duì)http請(qǐng)求信息進(jìn)行編輯修改。
原理:webscarab工具采用
web代理原理,客戶端與web服務(wù)器之間的http請(qǐng)求與響應(yīng)都需要經(jīng)過webscarab進(jìn)行中轉(zhuǎn),webscarab將收到的http請(qǐng)求消息進(jìn)行分析,并將分析結(jié)果圖形化顯示,如下圖:
可以用于驗(yàn)證當(dāng)客戶端對(duì)輸入有限制時(shí)(如長(zhǎng)度限制、輸入字符集的限制等),可以使用此種方法繞過客戶端驗(yàn)證服務(wù)端是否對(duì)輸入有限制。
1.1.3 工具使用
下面將主要介紹如何使用webscarab工具對(duì)post請(qǐng)求進(jìn)行參數(shù)篡改
1、 運(yùn)行WebScarab
WebScarab有兩種顯示模式:Lite interface和full-featured interface,可在Tools菜單下進(jìn)行模式切換,需要重啟軟件生效,修改http請(qǐng)求信息需要在full-featured interface下進(jìn)行。
2、 點(diǎn)擊Proxy標(biāo)簽頁(yè)->Manual Edit標(biāo)簽頁(yè)
3、 選中Intercept requests
在Methods中列舉了http1.1協(xié)議所有的請(qǐng)求方法,用來(lái)選擇過濾,如我們選擇了post,那WebScarab只能對(duì)post請(qǐng)求的http消息進(jìn)行篡改。
4、 打開IE瀏覽器的屬性,進(jìn)入連接》局域網(wǎng)設(shè)置,在代理地址中配置host為127.0.0.1或localhost,port為8008
English » | | | | | | | | |
Text-to-speech function is limited to 100 characters