1.1 Webscarab
【功能】
WebScarab是一個用來分析使用HTTP和HTTPS協議的應用程序框架。其原理很簡單,WebScarab可以記錄它檢測到的會話內容(請求和應答),並允許使用者可以通過多種形式來查看記錄。WebScarab的設計目的是讓使用者可以掌握某種基於HTTP(S)程序的運作過程;可以用它來調試程序中較難處理的bug,也可以幫助安全專家發現潛在的程序漏洞。
【適用對象】
分析使用HTTP和HTTPS協議的應用程序框架
1.1.1 工具安裝
WebScarab需要在java環境下運行,因此在安裝WebScarab前應先安裝好java環境(JRE或JDK均可)。
安裝好jdk后,右擊安裝文件:webscarab-installer-20070504-1631.jar 選擇“打開方式”如下圖:
然后進入安裝界面,下一步下一步安裝即可。
1.1.2 功能原理
webscarab工具的主要功能:它可以獲取客戶端提交至服務器的http請求消息,並以圖形化界面顯示,支持對http請求信息進行編輯修改。
原理:webscarab工具采用web代理原理,客戶端與web服務器之間的http請求與響應都需要經過webscarab進行中轉,webscarab將收到的http請求消息進行分析,並將分析結果圖形化顯示,如下圖:
可以用於驗證當客戶端對輸入有限制時(如長度限制、輸入字符集的限制等),可以使用此種方法繞過客戶端驗證服務端是否對輸入有限制。
1.1.3 工具使用
下面將主要介紹如何使用webscarab工具對post請求進行參數篡改
1、 運行WebScarab
WebScarab有兩種顯示模式:Lite interface和full-featured interface,可在Tools菜單下進行模式切換,需要重啟軟件生效,修改http請求信息需要在full-featured interface下進行。
2、 點擊Proxy標簽頁->Manual Edit標簽頁
3、 選中Intercept requests
在Methods中列舉了http1.1協議所有的請求方法,用來選擇過濾,如我們選擇了post,那WebScarab只能對post請求的http消息進行篡改。
4、 打開IE瀏覽器的屬性,進入連接》局域網設置,在代理地址中配置host為127.0.0.1或localhost,port為8008
5、 以上配置便完成了,下面選擇一個功能測試一下,以登錄為例,打開webScarab工具后,在瀏覽器中輸入需訪問的url地址,此時WebSarab會獲取到頁面的所有請求消息並彈出需要修改的會話框,
輸入正確信息,點擊修改,此時WebScarab會彈出提示框,顯示http傳遞參數信息,可以http請求進行新增、刪除和修改參數操作,修改后點擊“Accept changes”按鈕。
1.1.34 使用心得
WebScarab是一款很強大的http消息分析工具,它可以讓我們清楚地觀察到客戶端的http請求消息,同時支持對http消息的修改編輯,很適合web安全性篡改表單數據測試。