1.1??????Webscarab

【功能】

WebScarab是一個(gè)用來(lái)分析使用HTTP和HTTPS協(xié)議的應(yīng)用程序框架。其原理很簡(jiǎn)單，WebScarab可以記錄它檢測(cè)到的會(huì)話內(nèi)容（請(qǐng)求和應(yīng)答），并允許使用者可以通過多種形式來(lái)查看記錄。WebScarab的設(shè)計(jì)目的是讓使用者可以掌握某種基于HTTP（S）程序的運(yùn)作過程；可以用它來(lái)調(diào)試程序中較難處理的bug，也可以幫助安全專家發(fā)現(xiàn)潛在的程序漏洞。

【適用對(duì)象】

分析使用HTTP和HTTPS協(xié)議的應(yīng)用程序框架

1.1.1 ? ? ? ?工具安裝

WebScarab需要在java環(huán)境下運(yùn)行，因此在安裝WebScarab前應(yīng)先安裝好java環(huán)境（JRE或JDK均可）。

安裝好jdk后，右擊安裝文件：webscarab-installer-20070504-1631.jar 選擇“打開方式”如下圖：

然后進(jìn)入安裝界面，下一步下一步安裝即可。

?

1.1.2 ? ? ? ?功能原理

?webscarab工具的主要功能：它可以獲取客戶端提交至服務(wù)器的http請(qǐng)求消息，并以圖形化界面顯示，支持對(duì)http請(qǐng)求信息進(jìn)行編輯修改。

?原理：webscarab工具采用web代理原理，客戶端與web服務(wù)器之間的http請(qǐng)求與響應(yīng)都需要經(jīng)過webscarab進(jìn)行中轉(zhuǎn)，webscarab將收到的http請(qǐng)求消息進(jìn)行分析，并將分析結(jié)果圖形化顯示，如下圖：

?

?可以用于驗(yàn)證當(dāng)客戶端對(duì)輸入有限制時(shí)（如長(zhǎng)度限制、輸入字符集的限制等），可以使用此種方法繞過客戶端驗(yàn)證服務(wù)端是否對(duì)輸入有限制。

1.1.3 ? ? ? ?工具使用

? 下面將主要介紹如何使用webscarab工具對(duì)post請(qǐng)求進(jìn)行參數(shù)篡改

1、? 運(yùn)行WebScarab

WebScarab有兩種顯示模式：Lite interface和full-featured interface，可在Tools菜單下進(jìn)行模式切換，需要重啟軟件生效，修改http請(qǐng)求信息需要在full-featured interface下進(jìn)行。

?

2、? 點(diǎn)擊Proxy標(biāo)簽頁(yè)->Manual Edit標(biāo)簽頁(yè)

3、? 選中Intercept requests

在Methods中列舉了http1.1協(xié)議所有的請(qǐng)求方法，用來(lái)選擇過濾，如我們選擇了post，那WebScarab只能對(duì)post請(qǐng)求的http消息進(jìn)行篡改。

?? ?

4、? 打開IE瀏覽器的屬性，進(jìn)入連接》局域網(wǎng)設(shè)置，在代理地址中配置host為127.0.0.1或localhost，port為8008

?

5、? 以上配置便完成了，下面選擇一個(gè)功能測(cè)試一下，以登錄為例，打開webScarab工具后，在瀏覽器中輸入需訪問的url地址，此時(shí)WebSarab會(huì)獲取到頁(yè)面的所有請(qǐng)求消息并彈出需要修改的會(huì)話框，

輸入正確信息，點(diǎn)擊修改，此時(shí)WebScarab會(huì)彈出提示框，顯示http傳遞參數(shù)信息，可以http請(qǐng)求進(jìn)行新增、刪除和修改參數(shù)操作，修改后點(diǎn)擊“Accept changes”按鈕。

1.1.34 ? ? ? 使用心得

?? ?WebScarab是一款很強(qiáng)大的http消息分析工具，它可以讓我們清楚地觀察到客戶端的http請(qǐng)求消息，同時(shí)支持對(duì)http消息的修改編輯，很適合web安全性篡改表單數(shù)據(jù)測(cè)試。

?

?

?

?

?

?

?

?

?

?

總結(jié)

以上是生活随笔為你收集整理的web安全测试---WebScarab工具介绍（中间攻击，可以修改请求参数）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。