Web安全测试-WebScarab工具介绍
2023-09-11 14:20:33 时间
【功能】
WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。其原理很简单,WebScarab可以记录它检测到的会话内容(请求和应答),并允许使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。
【适用对象】
分析使用HTTP和HTTPS协议的应用程序框架
1.1.1 工具安装
WebScarab需要在java环境下运行,因此在安装WebScarab前应先安装好java环境(JRE或JDK均可)。
安装好jdk后,右击安装文件:webscarab-installer-20070504-1631.jar 选择“打开方式”如下图:
然后进入安装界面,下一步下一步安装即可。
1.1.2 功能原理
webscarab工具的主要功能:它可以获取客户端提交至服务器的http请求消息,并以图形化界面显示,支持对http请求信息进行编辑修改。
原理:webscarab工具采用web代理原理,客户端与web服务器之间的http请求与响应都需要经过webscarab进行中转,webscarab将收到的http请求消息进行分析,并将分析结果图形化显示,如下图:
可以用于验证当客户端对输入有限制时(如长度限制、输入字符集的限制等),可以使用此种方法绕过客户端验证服务端是否对输入有限制。
1.1.3 工具使用
下面将主要介绍如何使用webscarab工具对post请求进行参数篡改
1、 运行WebScarab
WebScarab有两种显示模式:Lite interface和full-featured interface,可在Tools菜单下进行模式切换,需要重启软件生效,修改http请求信息需要在full-featured interface下进行。
2、 点击Proxy标签页- Manual Edit标签页
3、 选中Intercept requests
在Methods中列举了http1.1协议所有的请求方法,用来选择过滤,如我们选择了post,那WebScarab只能对post请求的http消息进行篡改。
4、 打开IE浏览器的属性,进入连接》局域网设置,在代理地址中配置host为127.0.0.1或localhost,port为8008
5、 以上配置便完成了,下面选择一个功能测试一下,以登录为例,打开webScarab工具后,在浏览器中输入需访问的url地址,此时WebSarab会获取到页面的所有请求消息并弹出需要修改的会话框,
输入正确信息,点击修改,此时WebScarab会弹出提示框,显示http传递参数信息,可以http请求进行新增、删除和修改参数操作,修改后点击“Accept changes”按钮。
1.1.34 使用心得
WebScarab是一款很强大的http消息分析工具,它可以让我们清楚地观察到客户端的http请求消息,同时支持对http消息的修改编辑,很适合web安全性篡改表单数据测试。
最新内容请见作者的GitHub页:http://qaseven.github.io/
1.网址:browsershots.org BrowserShots的功能比较强大,它支持如上图所示各种不同系统下不同版本的浏览器。
![](http://www.51testing.com/attachments/2014/11/14982672_2014110511300017O98.jpg)
![](http://www.51testing.com/attachments/2014/11/14982672_201411051130002VImA.jpg)
![](http://www.51testing.com/attachments/2014/11/14982672_201411051130003ITLV.jpg)
![](http://www.51testing.com/attachments/2014/11/14982672_201411051130004fjKJ.jpg)
![](http://www.51testing.com/attachments/2014/11/14982672_201411051130005XAyX.jpg)
![](http://www.51testing.com/attachments/2014/11/14982672_201411051130006U8g6.jpg)
![](http://www.51testing.com/attachments/2014/11/14982672_201411051130007fR5g.jpg)
1.网址:browsershots.org BrowserShots的功能比较强大,它支持如上图所示各种不同系统下不同版本的浏览器。
相关文章
- PHP压力测试使用apache的ab工具和Linux的time命令
- [Android Memory] Android性能测试小工具Emmagee
- 【学习总结】测试开发工程师面试指南-个人简历
- 用spoon.net网站作网站兼容性测试,真心推荐哟
- 【RF库Collections测试】List Should Contain Value
- SAP ABAP Soap测试框架一些有用的工具类
- android v4l2-ctl工具测试验证Camera摄像头
- pytest接口自动化测试框架 | 执行失败跳转pdb
- local-network 2k 本地2k测试网搭建
- 理解LoadRunner,基于此工具进行后端性能测试的详细过程(上)
- 测试小故事82:好好说话
- 性能测试之脚本、工具、结果分析总结
- Appium自动化测试基础 — uiautomatorviewer定位工具
- 自动化测试如何管理测试数据?
- 【测试人必备】常用adb命令
- 年薪30W的字节自动化测试工程师,是怎么写测试用例?
- 一文4个步骤1000字教你用Charles工具做断点测试
- PSattack:一个渗透测试中使用的万能框架——还是有些过时啊,属于整合类工具,将其他好用的模块放到一起
- centos安装netcat工具及测试
- 【C++ 科学计算】Armadillo 库测试示例
- 转载:大厂5G python自动化测试面试必会 | 匿名函数lambda & 递归函数 & 函数属性和注解 & 函数式编程工具
- 测试