• web安全测试---WebScarab工具介绍


    1.1      Webscarab

    【功能】

    WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。其原理很简单,WebScarab可以记录它检测到的会话内容(请求和应答),并允许使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。

    【适用对象】

    分析使用HTTP和HTTPS协议的应用程序框架

     

    1.1.1        工具安装

    WebScarab需要在java环境下运行,因此在安装WebScarab前应先安装好java环境(JRE或JDK均可)。

    安装好jdk后,右击安装文件:webscarab-installer-20070504-1631.jar 选择“打开方式”如下图:

    然后进入安装界面,下一步下一步安装即可。

     

    1.1.2        功能原理

     webscarab工具的主要功能:它可以获取客户端提交至服务器的http请求消息,并以图形化界面显示,支持对http请求信息进行编辑修改。

     原理:webscarab工具采用web代理原理,客户端与web服务器之间的http请求与响应都需要经过webscarab进行中转,webscarab将收到的http请求消息进行分析,并将分析结果图形化显示,如下图:

     

     可以用于验证当客户端对输入有限制时(如长度限制、输入字符集的限制等),可以使用此种方法绕过客户端验证服务端是否对输入有限制。

     

    1.1.3        工具使用

      下面将主要介绍如何使用webscarab工具对post请求进行参数篡改

    1、  运行WebScarab

    WebScarab有两种显示模式:Lite interfacefull-featured interface,可在Tools菜单下进行模式切换,需要重启软件生效,修改http请求信息需要在full-featured interface下进行。

     

       

     

    2、  点击Proxy标签页->Manual Edit标签页

    3、  选中Intercept requests

    在Methods中列举了http1.1协议所有的请求方法,用来选择过滤,如我们选择了post,那WebScarab只能对post请求的http消息进行篡改。

        

     

     

    4、  打开IE浏览器的属性,进入连接》局域网设置,在代理地址中配置host为127.0.0.1或localhost,port为8008

     

      

     

    5、  以上配置便完成了,下面选择一个功能测试一下,以登录为例,打开webScarab工具后,在浏览器中输入需访问的url地址,此时WebSarab会获取到页面的所有请求消息并弹出需要修改的会话框,

    输入正确信息,点击修改,此时WebScarab会弹出提示框,显示http传递参数信息,可以http请求进行新增、删除和修改参数操作,修改后点击“Accept changes”按钮。

     

     

    1.1.34       使用心得

     

        WebScarab是一款很强大的http消息分析工具,它可以让我们清楚地观察到客户端的http请求消息,同时支持对http消息的修改编辑,很适合web安全性篡改表单数据测试。

     

  • 相关阅读:
    软件工程实践2019第三次作业
    软件工程实践2019第二次作业
    软件工程实践2019第一次作业
    《暗时间》读书笔记
    2020 软工实践 寒假作业(1/2)
    个人技术博客——Spring中Controller的传参与返回值处理
    2020 软工实践 个人作业——软件工程实践总结
    2020 软工实践 个人作业——软件测评
    2020 软工实践 疫情统计可视化 (实现)
    2020 软工实践 疫情统计可视化(原型设计)
  • 原文地址:https://www.cnblogs.com/trhimily/p/3897692.html
Copyright © 2020-2023  润新知