【功能】
WebScarab是一個用來分析使用HTTP和HTTPS協議的應用程序框架。其原理很簡單,WebScarab可以記錄它檢測到的會話內容(請求和應答),並允許使用者可以通過多種形式來查看記錄。WebScarab的設計目的是讓使用者可以掌握某種基於HTTP(S)程序的運作過程;可以用它來調試程序中較難處理的bug,也可以幫助安全專家發現潛在的程序漏洞。
【適用對象】
分析使用HTTP和HTTPS協議的應用程序框架
【工具安裝】
WebScarab需要在 java 環境下運行,因此在安裝WebScarab前應先安裝好java環境(JRE或JDK均可)。
【功能原理】
webscarab工具的主要功能:它可以獲取客戶端提交至服務器的http請求消息,並以圖形化界面顯示,支持對http請求信息進行編輯修改。
原理:webscarab工具采用 web 代理原理,客戶端與web服務器之間的http請求與響應都需要經過webscarab進行中轉,webscarab將收到的http請求消息進行分析,並將分析結果圖形化顯示,如下圖:
可以用於驗證當客戶端對輸入有限制時(如長度限制、輸入字符集的限制等),可以使用此種方法繞過客戶端驗證服務端是否對輸入有限制。
【工具使用】
下面將主要介紹如何使用webscarab工具對post請求進行參數篡改
運行WebScarab
1、WebScarab有兩種顯示模式:Lite interface和full-featured interface,可在Tools菜單下進行模式切換,需要重啟軟件生效,修改http請求信息需要在full-featured interface下進行。
2、點擊Proxy標簽頁->Listeners標簽頁, 添加listener。
3、點擊Proxy標簽頁->Manual Edit標簽頁, 選中Intercept requests
在Methods中列舉了http1.1協議所有的請求方法,用來選擇過濾,如我們選擇了post,那WebScarab只能對post請求的http消息進行篡改。
4,打開IE瀏覽器的屬性,進入連接-->局域網設置,在代理地址中配置host為127.0.0.1或localhost,port為8008(任意沒有被占用的端口)
5、 以上配置便完成了,下面選擇一個功能測試一下,以登錄為例,打開webScarab工具后,在瀏覽器中輸入需訪問的url地址,此時WebSarab會獲取到頁面的所有請求消息並彈出需要修改的會話框,
輸入正確信息,點擊修改,此時WebScarab會彈出提示框,顯示http傳遞參數信息,可以http請求進行新增、刪除和修改參數操作,修改后點擊“Accept changes”按鈕。
【使用心得】
WebScarab是一款很強大的http消息分析工具,它可以讓我們清楚地觀察到客戶端的http請求消息,同時支持對http消息的修改編輯,很適合web安全性篡改表單數據測試