WebScarab是由开放式Web应用安全项目(OWASP)组开发。OWASP是免费的,它为建立安全的Web应用提供了指导和建议。
WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。WebScarab可以记录它检测到的会话内容(请求和应答),并允许使用者可以通过多种形式来查看记录。可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。
1 下载
https://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/
2 安装
下载成功后,双击直接开始安装;
下一步选择安装路径,接着【Next】,需要勾选均默认。安装成功后,进入安装路径,双击webscarab.jar。
3 功能原理
webscarab工具的主要功能:它可以获取客户端提交至服务器的http请求消息,并以图形化界面显示,支持对http请求信息进行编辑修改。
原理:webscarab工具采用web代理原理,客户端与web服务器之间的http请求与响应都需要经过webscarab进行中转,webscarab将收到的http请求消息进行分析,并将分析结果图形化显示,如下图:
可以用于验证当客户端对输入有限制时(如长度限制、输入字符集的限制等),可以使用此种方法绕过客户端验证服务端是否对输入有限制。
4 实例
下面将主要介绍如何使用webscarab工具对post请求进行参数篡改
1、运行WebScarab
WebScarab有两种显示模式:Lite interface和full-featured interface,可在Tools菜单下进行模式切换,修改http请求信息需要在full-featured interface下进行。
2、打开IE浏览器的属性,进入连接局域网设置,在代理地址中配置host为127.0.0.1或localhost,port为8008
“工具”——“Internet选项”——“连接”——“局域网(LAN)设置”
3、点击Proxy标签页->Manual Edit标签页
4、选中Intercept requests
在Methods中列举了http1.1协议所有的请求方法,用来选择过滤,如我们选择了post,那WebScarab只能对post请求的http消息进行篡改。
5、配置完成后,选择一个功能进行测试,打开WebScarab工具后,在浏览器中输入需要访问的url地址,此时WebScarab会获取到页面的所有请求消息并弹出需要修改的会话框。
修改数据