OWASP的WebScarab简介

最新推荐文章于 2022-09-08 09:28:52 发布
最新推荐文章于 2022-09-08 09:28:52 发布
阅读量4.9k 收藏 11
点赞数 2
分类专栏: 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31082427/article/details/73244874
版权

  WebScarab是由开放式Web应用安全项目(OWASP)组开发。OWASP是免费的,它为建立安全的Web应用提供了指导和建议。

  WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。WebScarab可以记录它检测到的会话内容(请求和应答),并允许使用者可以通过多种形式来查看记录。可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。

1 下载

https://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/

2 安装

下载成功后,双击直接开始安装;




下一步选择安装路径,接着【Next】,需要勾选均默认。安装成功后,进入安装路径,双击webscarab.jar。

3 功能原理

  webscarab工具的主要功能:它可以获取客户端提交至服务器的http请求消息,并以图形化界面显示,支持对http请求信息进行编辑修改。

  原理:webscarab工具采web代理原理,客户端与web服务器之间的http请求与响应都需要经过webscarab进行中转,webscarab将收到的http请求消息进行分析,并将分析结果图形化显示,如下图:


  可以用于验证当客户端对输入有限制时(如长度限制、输入字符集的限制等),可以使用此种方法绕过客户端验证服务端是否对输入有限制。

4 实例

下面将主要介绍如何使用webscarab工具对post请求进行参数篡改

1、运行WebScarab

WebScarab有两种显示模式:Lite interface和full-featured interface,可在Tools菜单下进行模式切换,修改http请求信息需要在full-featured interface下进行。


2、打开IE浏览器的属性,进入连接局域网设置,在代理地址中配置host为127.0.0.1或localhost,port为8008

“工具”——“Internet选项”——“连接”——“局域网(LAN)设置”


3、点击Proxy标签页->Manual Edit标签页


4、选中Intercept requests

  在Methods中列举了http1.1协议所有的请求方法,用来选择过滤,如我们选择了post,那WebScarab只能对post请求的http消息进行篡改。



5、配置完成后,选择一个功能进行测试,打开WebScarab工具后,在浏览器中输入需要访问的url地址,此时WebScarab会获取到页面的所有请求消息并弹出需要修改的会话框。

修改数据





大静子
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP Mantra Janus渗透测试专用浏览器
07-13
这是OWASP出品的渗透测试专用浏览器,集成了常用的很多工具
网站安全检测:推荐 8 款免费的 Web 安全测试工具
喜欢Python编程的程序员柚柚呀
12-10 2396
随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对 Web 应用安全的关注度也逐渐升温。下面向大家推荐 8 款非常有用的免费安全测试工具。
windows上编译owasp-webscarab
weixin_34356555的博客
02-14 91
最近看一篇老文章,看到webscarab这个工具,去看编译好的https://sourceforge.net/projects/owasp/files/WebScarab/,最早也是07年的事了,因此决定重新编译下。1、下载配置ant环境2、在github里下载OWASP-WebScarab3、ant build出错了(\webscarab\u...
Web安全测试-WebScarab工具
风间琉璃zero
08-25 3120
1.1 Webscarab1.1.1 工具安装1.1.2 功能原理1.1.3 工具使用1.1.34 使用心得 转载自web安全测试—WebScarab工具介绍(中间攻击,可以修改请求参数) 1.1 Webscarab 【功能】 WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。其原理很简单,WebScarab可以记录它检测到的会话内容(请求和应答),并允许使用者可以通过多种形式来查看记录。WebScarab.
HTTP和HTTPS协议分析工具WebScarab.zip #资源分享达人计划#
08-17
WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。其原理很简单,WebScarab可以记录它检测到的会话内容(请求和应答),并允许使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。 #资源分享达人计划#
Web安全测试-WebScarab
wzj的博客
09-08 1058
它可以记录它检测到的会话内容(请求和应答),并允许使用者可以通过多种形式来查看记录。它可以获取客户端提交至服务器的http请求消息,并以图形化界面显示,支持对http请求信息进行编辑修改。webscarab工具采用web代理原理,客户端与web服务器之间的http请求与响应都需要经过webscarab进行中转,webscarab将收到的http请求消息进行分析,并将分析结果图形化显示。可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。
webscarab测试开放HTTP简易教程
floraruo的博客
10-28 3737
1、安装webscarab 地址:OWASP Source Code Center - Browse /WebScarab at SourceForge.net 2、打开软件,配置浏览器代理,127.0.0.1 端口8008 ps:界面缺少功能点击下图按钮后重新打开软件 3、浏览器中访问要测试的url即可 4、需要拦截页面可使用下图模块 5.模拟请求网页使用可使用下图模块 ...
代理工具WebScarab安装
syq1207的博客
06-09 3261
1、下载WebScarab:http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/,其中webscarab-installer-20070504-1631.jar为安装包. 2、双击打开安装,不可以放在桌面以及中文的安装文件夹内,一步步安装完成即可,打开运行。 3关于代理工具有: ◆WebScarab-http
熟悉又陌生的白帽黑客组织OWASP
jklbnm12的博客
12-21 300
OWASP是Open Web Application Security Project的简称,是一个世界范围的专注软件安全的非营利组织,OWASP于2004年4月21日在美国建立,是一个国际组织,OWASP基金会负责支持世界各地的活动。
WebScarabOWASP
03-30
linux上类似Fiddle的工具,比Fiddle还强大,安装用ant,执行后会生成一个jar文件,用java运行它就可以。运行后,在Porxy里面start一下,默认在127.0.0.1:8008监听,然后把浏览器的代理设成127.0.0.1:8008就可以抓包了。还有很多功能哦。。
WebScarab工具
11-14
HTTP代理,网络爬行、网络蜘蛛,会话ID分析,自动脚本接口,模糊测试工具,对所有流行的WEB格式的编码/解码,WEB服务描述语言和SOAP解析器
OWASP-WebScarab-master_owasp_
10-01
owasp library source
webScarab源码
10-08
一款代理软件或许没有其它的工具能和OWASPWebScarab如此丰富的功能相媲美了,如果非要列举一些有用的模块的话,那么他们包括HTTP代理,网络爬行、网络蜘蛛,会话ID分析,自动脚本接口,模糊测试工具,对所有流行的...
webScarab 源码
10-08
WebScarab的HTTP代理提供了预期...就基本功能而言,WebScarab和PAROS差不多,但WebScarab为更懂技术的用户提供了更多的功能,并提供了对隐藏的底层更多的访问。但是,由于PAROS更简单,我们仍推荐学者在开始时使用它。
OWASP-WebScarab-master.zip
08-12
OWASP-WebScarab-master.zip
网站在多IE版本兼容性测试工具IETester的使用方法
大静子的博客
10-24 6355
IETester是一款很适用于开发人员使用的网站测试工具,由于开发人员在开发网站的时候由于某代码不兼容与IE版本,可以会造成浏览效果不佳且损失很多潜在客户,所以网站与IE版本是否兼容是很重要的。 工具介绍: IETester是一个免费的WebBrowser控件,让您有Windows8桌面、Windows7、Vista和XP系统中IE5.5、IE6、IE7、IE8、IE9、IE10、IE11的渲
owasp top10
最新发布
03-27
OWASP Top 10是由Open Web Application Security ProjectOWASP)组织发布的一个关于Web应用程序安全风险的列表。它列出了当前最常见的Web应用程序安全漏洞,帮助开发人员和安全专家了解并解决这些问题。 以下是OWASP Top 10的最新版本(2021): 1. 注入(Injection):指的是攻击者通过将恶意代码注入到应用程序的输入中来执行非法操作,如SQL注入、OS命令注入等。 2. 跨站脚本(Cross-Site Scripting,XSS):攻击者通过在Web应用程序中插入恶意脚本来窃取用户信息或篡改网页内容。 3. 不安全的身份验证(Broken Authentication):指的是应用程序在用户身份验证和会话管理方面存在漏洞,如弱密码、会话劫持等。 4. 暴露的敏感数据(Sensitive Data Exposure):指的是应用程序未正确保护敏感数据,导致攻击者可以获取到用户的敏感信息。 5. XML外部实体(XML External Entities,XXE):攻击者利用XML解析器的漏洞来读取本地文件、执行远程请求等操作。 6. 不安全的访问控制(Broken Access Control):指的是应用程序未正确实施访问控制机制,导致攻击者可以越权访问或修改数据。 7. 安全配置错误(Security Misconfiguration):指的是应用程序或服务器配置不当,导致安全漏洞的存在,如默认密码、错误的权限设置等。 8. 跨站请求伪造(Cross-Site Request Forgery,CSRF):攻击者通过伪造合法用户的请求来执行非法操作,如修改用户信息、发起转账等。 9. 使用已知的漏洞组件(Using Components with Known Vulnerabilities):指的是应用程序使用已知存在漏洞的第三方组件,导致攻击者可以利用这些漏洞进行攻击。 10. 不足的日志记录和监控(Insufficient Logging & Monitoring):指的是应用程序未正确记录和监控安全事件,导致无法及时发现和应对攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值