HTTP抓包與調試（Firefox插件）

一：Firefox插件（抓包與各種調試）

Firebug是Firefox瀏覽器的一個擴站插件，可以動態修改html代碼、探索DOM結構、監視網絡請求和相應、調試和檢測頁面的CSS、HTML和JS等。 

1. 安裝城成功后按F12啟動Firebug
   打開Firebug后，看到六個主要標簽按鈕（控制台、HTML查看器、CSS查看器、腳本調試器、DOM查看器、網絡狀況監視器）
   
2. 控制台
   控制台能夠顯示當前頁面中的JavaScript錯誤及警告，並提示出錯誤的文件和行號，使用控制台可以測試一段代碼或者函數的執行時間。
   啟用控制台，在窗口的底部能看到命令行輸入，以“>>>”開頭，輸入JavaScript代碼后回車執行。
   輸入多行大面積代碼點擊>>>行最右側的  按鈕運行命令行編輯器。
3. 動態修改HTML元素
   Frebug可以顯示腳本輸出的最終源代碼，而html查看器只能顯示頁面本身的源代碼。
   單擊查看頁面元素按鈕（圈左1），當光標停留在某個元素上市，瀏覽器會高亮顯示對應元素，可以對頁面文本節點進行修改，其修改結果馬上回反映到瀏覽器窗口（圈2,3）
   
   
   
   
4. 查看網絡狀況
   將標簽切換到網絡，Friebug會記錄該請求的GET或POST內容，以及回應的頭信息和內容。可以以矩狀圖顯示CSS ,JS，及網頁圖片的載入時間。通過右鍵菜單可以復制文件地址、HTTP請求信息，和響應頭信息。
5. DOM查看器
   DOM包含了大量的對象以及函數，事件，通過使用Firebug可以檢查當前打開程序的各個部分
   
   （只打開了百度首頁，為什么會出來這么多東西，待查證后補充(＞﹏＜) ）

二.Tamper Data（攔截修改）

1. 安裝成功后，在Firefox的工具菜單中打開，隨后在瀏覽網頁時發出的HTTP請求及其對應的響應都會被記錄下來
2. 界面組成:
   第一部分：（上方）HTTP請求概要信息
   第二部分：（左下方）顯示出對應的HTTP請求的頭部信息
   第三部分：（右下方）顯示出對應的HTTP響應
3. Graph all按鈕可以以圖形的方式顯示每個頁面元素及其打開時間
4. Start Tamper(右上圈)開啟后會截取瀏覽器發出的每一個請求，單擊超鏈接會彈出對話框，單擊Tamper會彈出新窗口可隨意修改或添加合法的HTTP請求頭部字段或POST參數
   
   
   

三.Live HTTP Headers（重放功能）

1. 下載地址：http://livehttpheaders.mozdev.org 進入后點擊"Installation"選擇版本后下載
2. 在工具菜單打開
3. 窗口底部有一個“capture”復選框，選中后可以使LIVE HTTP Headers 停止向下滾動，以便對已經產生的通信流量進行分析
4. 在主窗口選擇其中一段請求，然后單擊窗口底部的“Replay”按鈕會彈出窗口，可對請求進行各種修改，修改后再次單擊“replay”可重放請求

四、Hackbar（編碼解碼/POST提交）

一個包含黑客常用工具的工具包,安裝后按F9啟動，具體使用不太會，待補充。

五、Modify Headers（修改頭部）

沒學會修改頭部,倒是學會了用它代理上手機WAP.

1. 下載后在工具欄中的web開發者側欄中打開
2. 單擊Select action欄選擇Modify
3. 在第一欄填頭部名稱，第二欄填頭部值，第三行應該填的是描述信息
4. 填好之后點擊Start就可以了
   

想了一下這個軟件應該可以添加多個自定義的HTTP頭部字段，分為三個動作Add,Modify,Filter。 這三個作應該具有不同的優先級，應該是可以使用修改后的多個 head訪問目標網站提高效率，應該可以和 SQL注入結合使用。

參考書籍《XSS跨站腳本攻擊剖析與防御》