Web安全測試-WebScarab

【功能】

WebScarab是一個用來分析使用HTTP和HTTPS協議的應用程序框架。其原理很簡單，WebScarab能夠記錄它檢測到的會話內容（請求和應答），並容許使用者能夠經過多種形式來查看記錄。WebScarab的設計目的是讓使用者能夠掌握某種基於HTTP（S）程序的運做過程；能夠用它來調試程序中較難處理的bug，也能夠幫助安全專家發現潛在的程序漏洞。

【適用對象】

分析使用HTTP和HTTPS協議的應用程序框架

【工具安裝】

WebScarab須要在 java 環境下運行，所以在安裝WebScarab前應先安裝好java環境（JRE或JDK都可）。

【功能原理】

webscarab工具的主要功能：它能夠獲取客戶端提交至服務器的http請求消息，並以圖形化界面顯示，支持對http請求信息進行編輯修改。

原理：webscarab工具採用 web 代理原理，客戶端與web服務器之間的http請求與響應都須要通過webscarab進行中轉，webscarab將收到的http請求消息進行分析，並將分析結果圖形化顯示，以下圖：

能夠用於驗證當客戶端對輸入有限制時（如長度限制、輸入字符集的限制等），可使用此種方法繞過客戶端驗證服務端是否對輸入有限制。

【工具使用】

下面將主要介紹如何使用webscarab工具對post請求進行參數篡改

 運行WebScarab

一、WebScarab有兩種顯示模式：Lite interface和full-featured interface，可在Tools菜單下進行模式切換，須要重啓軟件生效，修改http請求信息須要在full-featured interface下進行。

二、點擊Proxy標籤頁->Listeners標籤頁， 添加listener。

三、點擊Proxy標籤頁->Manual Edit標籤頁， 選中Intercept requests

 

在Methods中列舉了http1.1協議全部的請求方法，用來選擇過濾，如咱們選擇了post，那WebScarab只能對post請求的http消息進行篡改。

4，打開IE瀏覽器的屬性，進入鏈接-->局域網設置，在代理地址中配置host爲127.0.0.1或localhost，port爲8008(任意沒有被佔用的端口)

五、  以上配置便完成了，下面選擇一個功能測試一下，以登陸爲例，打開webScarab工具後，在瀏覽器中輸入需訪問的url地址，此時WebSarab會獲取到頁面的全部請求消息並彈出須要修改的會話框，

輸入正確信息，點擊修改，此時WebScarab會彈出提示框，顯示http傳遞參數信息，能夠http請求進行新增、刪除和修改參數操做，修改後點擊「Accept changes」按鈕。

【使用心得】

WebScarab是一款很強大的http消息分析工具，它可讓咱們清楚地觀察到客戶端的http請求消息，同時支持對http消息的修改編輯，很適合web安全性篡改表單數據測試

 

來源：http://www.2cto.com/article/201502/378352.html