使用WebScarab模糊測試

重要：暫未發現該軟件能夠自動生成測試用例，只能本身添加寫好的用例。若是有此需求請使用其餘軟件或留言共享方法，謝謝你們。

 

1.1.1  WebScarab工具簡介

       WebScarab是一款代理軟件，簡介是HTTP代理，網絡爬行、網絡蜘蛛，可使用來查看post數據。它提供了包括HTTP代理，網絡爬行、網絡蜘蛛，會話ID分析，自動腳本接口，模糊測試工具，它能夠對全部流行的WEB格式的編碼/解碼，WEB服務描述語言和SOAP解析器等。

1.1.2 安裝

       1. 進入http://webscarab.updatestar.com/，選擇「webscarab-installer-20070504-1631.jar」下載。

2. 雙擊文件進行WebScarab安裝

3. 設置Chrome瀏覽器的代理模式。在設置-->高級設置-->系統-->打開系統代理，

選擇鏈接-->局域網設置

配置代理服務器，設置地址爲「localhost」，端口爲「8008」（這是這個工具的默認端口）。若是項目在本地運行（好比本地的Tomcat），切記取消勾選「對於本地址不使用代理服務器」，不然本地請求沒法被抓取。

 

點擊肯定，配置完成。

 備註：此時若是想經過瀏覽器訪問互聯網，Chrome會報警告而且禁止訪問。解決方法是還原上述設置，保存後便可訪問互聯網。

 

1.1.3 使用

運行項目（個人被測項目在本地）和WebScarab軟件。

備註：若是界面時以下狀況怎麼辦？

解決方案：

點擊菜單 Tools->use full-featured interface

關閉軟件，從新打開便可。想要切換回原來的模式只需將勾選清除。

填寫表單，點擊提交，會彈出一個編輯窗口，有表單中元素的相關信息。

點擊「Accept changes」便可放過post請求。被測軟件顯示請求後結果。

點擊工具軟件Summary。

對剛纔的POST請求（你想要模糊測試的請求）右鍵選擇「use as fuzz template」，而後點擊fuzzer界面。對要測試的條目選擇編寫好的文件。

 

如何選擇一個模糊數據文件呢？

 點擊 Source

點擊 Browse

選擇文件，輸入描述

點擊close關閉該窗口，完成測試文件的添加。

點擊start開始測試，查看結果,能夠看到這些請求是來自於「fuzzer」。

雙擊可查看詳細信息。