【功能】
WebScarab是一個用來分析使用HTTP和HTTPS協議的應用程序框架。其原理很簡單,WebScarab可以記錄它檢測到的會話內容(請求和應答),并允許使用者可以通過多種形式來查看記錄。WebScarab的設計目的是讓使用者可以掌握某種基于HTTP(S)程序的運作過程;可以用它來調試程序中較難處理的bug,也可以幫助安全專家發現潛在的程序漏洞。
【適用對象】
分析使用HTTP和HTTPS協議的應用程序框架
1.1.1 工具安裝
WebScarab需要在
java環境下運行,因此在安裝WebScarab前應先安裝好java環境(JRE或JDK均可)。
安裝好jdk后,右擊安裝文件:webscarab-installer-20070504-1631.jar 選擇“打開方式”如下圖:
然后進入安裝界面,下一步下一步安裝即可。
1.1.2 功能原理
webscarab工具的主要功能:它可以獲取客戶端提交至服務器的http請求消息,并以圖形化界面顯示,支持對http請求信息進行編輯修改。
原理:webscarab工具采用
web代理原理,客戶端與web服務器之間的http請求與響應都需要經過webscarab進行中轉,webscarab將收到的http請求消息進行分析,并將分析結果圖形化顯示,如下圖:
可以用于驗證當客戶端對輸入有限制時(如長度限制、輸入字符集的限制等),可以使用此種方法繞過客戶端驗證服務端是否對輸入有限制。
1.1.3 工具使用
下面將主要介紹如何使用webscarab工具對post請求進行參數篡改
1、 運行WebScarab
WebScarab有兩種顯示模式:Lite interface和full-featured interface,可在Tools菜單下進行模式切換,需要重啟軟件生效,修改http請求信息需要在full-featured interface下進行。
2、 點擊Proxy標簽頁->Manual Edit標簽頁
3、 選中Intercept requests
在Methods中列舉了http1.1協議所有的請求方法,用來選擇過濾,如我們選擇了post,那WebScarab只能對post請求的http消息進行篡改。
4、 打開IE瀏覽器的屬性,進入連接》局域網設置,在代理地址中配置host為127.0.0.1或localhost,port為8008
English » | | | | | | | | |
Text-to-speech function is limited to 100 characters