1.1??????Webscarab

【功能】

WebScarab是一個用來分析使用HTTP和HTTPS協議的應用程序框架。其原理很簡單，WebScarab可以記錄它檢測到的會話內容（請求和應答），并允許使用者可以通過多種形式來查看記錄。WebScarab的設計目的是讓使用者可以掌握某種基于HTTP（S）程序的運作過程；可以用它來調試程序中較難處理的bug，也可以幫助安全專家發現潛在的程序漏洞。

【適用對象】

分析使用HTTP和HTTPS協議的應用程序框架

1.1.1 ? ? ? ?工具安裝

WebScarab需要在java環境下運行，因此在安裝WebScarab前應先安裝好java環境（JRE或JDK均可）。

安裝好jdk后，右擊安裝文件：webscarab-installer-20070504-1631.jar 選擇“打開方式”如下圖：

然后進入安裝界面，下一步下一步安裝即可。

?

1.1.2 ? ? ? ?功能原理

?webscarab工具的主要功能：它可以獲取客戶端提交至服務器的http請求消息，并以圖形化界面顯示，支持對http請求信息進行編輯修改。

?原理：webscarab工具采用web代理原理，客戶端與web服務器之間的http請求與響應都需要經過webscarab進行中轉，webscarab將收到的http請求消息進行分析，并將分析結果圖形化顯示，如下圖：

?

?可以用于驗證當客戶端對輸入有限制時（如長度限制、輸入字符集的限制等），可以使用此種方法繞過客戶端驗證服務端是否對輸入有限制。

1.1.3 ? ? ? ?工具使用

? 下面將主要介紹如何使用webscarab工具對post請求進行參數篡改

1、? 運行WebScarab

WebScarab有兩種顯示模式：Lite interface和full-featured interface，可在Tools菜單下進行模式切換，需要重啟軟件生效，修改http請求信息需要在full-featured interface下進行。

?

2、? 點擊Proxy標簽頁->Manual Edit標簽頁

3、? 選中Intercept requests

在Methods中列舉了http1.1協議所有的請求方法，用來選擇過濾，如我們選擇了post，那WebScarab只能對post請求的http消息進行篡改。

?? ?

4、? 打開IE瀏覽器的屬性，進入連接》局域網設置，在代理地址中配置host為127.0.0.1或localhost，port為8008

?

5、? 以上配置便完成了，下面選擇一個功能測試一下，以登錄為例，打開webScarab工具后，在瀏覽器中輸入需訪問的url地址，此時WebSarab會獲取到頁面的所有請求消息并彈出需要修改的會話框，

輸入正確信息，點擊修改，此時WebScarab會彈出提示框，顯示http傳遞參數信息，可以http請求進行新增、刪除和修改參數操作，修改后點擊“Accept changes”按鈕。

1.1.34 ? ? ? 使用心得

?? ?WebScarab是一款很強大的http消息分析工具，它可以讓我們清楚地觀察到客戶端的http請求消息，同時支持對http消息的修改編輯，很適合web安全性篡改表單數據測試。

?

?

?

?

?

?

?

?

?

?

總結

以上是生活随笔為你收集整理的web安全测试---WebScarab工具介绍（中间攻击，可以修改请求参数）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。