Web安全测试-WebScarab工具介绍

【功能】 WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。其原理很简单，WebScarab可以记录它检测到的会话内容（请求和应答），并允许使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP（S）程序的运作过程；可以用它来调试程序中较难处理的bug，也可以帮助安全专家发现潜在的程序漏洞。 【适用对象】 分析使用HTTP和HTTPS协议的应用程序框架 1.1.1 工具安装 WebScarab需要在java环境下运行，因此在安装WebScarab前应先安装好java环境（JRE或JDK均可）。 安装好jdk后，右击安装文件：webscarab-installer-20070504-1631.jar 选择“打开方式”如下图： 然后进入安装界面，下一步下一步安装即可。 1.1.2 功能原理 webscarab工具的主要功能：它可以获取客户端提交至服务器的http请求消息，并以图形化界面显示，支持对http请求信息进行编辑修改。 原理：webscarab工具采用web代理原理，客户端与web服务器之间的http请求与响应都需要经过webscarab进行中转，webscarab将收到的http请求消息进行分析，并将分析结果图形化显示，如下图： 可以用于验证当客户端对输入有限制时（如长度限制、输入字符集的限制等），可以使用此种方法绕过客户端验证服务端是否对输入有限制。 1.1.3 工具使用 下面将主要介绍如何使用webscarab工具对post请求进行参数篡改 1、  运行WebScarab WebScarab有两种显示模式：Lite interface和full-featured interface，可在Tools菜单下进行模式切换，需要重启软件生效，修改http请求信息需要在full-featured interface下进行。 2、  点击Proxy标签页- Manual Edit标签页 3、  选中Intercept requests 在Methods中列举了http1.1协议所有的请求方法，用来选择过滤，如我们选择了post，那WebScarab只能对post请求的http消息进行篡改。 4、  打开IE浏览器的属性，进入连接》局域网设置，在代理地址中配置host为127.0.0.1或localhost，port为8008 5、  以上配置便完成了，下面选择一个功能测试一下，以登录为例，打开webScarab工具后，在浏览器中输入需访问的url地址，此时WebSarab会获取到页面的所有请求消息并弹出需要修改的会话框， 输入正确信息，点击修改，此时WebScarab会弹出提示框，显示http传递参数信息，可以http请求进行新增、删除和修改参数操作，修改后点击“Accept changes”按钮。 1.1.34  使用心得 WebScarab是一款很强大的http消息分析工具，它可以让我们清楚地观察到客户端的http请求消息，同时支持对http消息的修改编辑，很适合web安全性篡改表单数据测试。 最新内容请见作者的GitHub页：http://qaseven.github.io/

1.网址：browsershots.org BrowserShots的功能比较强大，它支持如上图所示各种不同系统下不同版本的浏览器。