Tamper Chrome – 请求修改扩展，可用于Web安全测试

Tamper Chrome是一个Chrome扩展程序，允许您动态修改HTTP请求并帮助进行Web安全测试。Tamper Chrome适用于所有操作系统（包括Chrome OS）。小Burp Suite的存在

Tamper Chrome安装

它有两部分组成，也就是需要安装两个扩展？

1. 先安装 Tamper Chrome Extension
2. 再安装 Tamper Chrome Application
3. 重启你的浏览器.

Tamper Chrome使用

打开Tamper Chrome

点击鼠标右键，选中“检查”，或者option+command+j快捷键调出开发者工具。

点击箭头，即可看到Tamper

打开temper.可以看到左边的六个选项，从上至下依次的功能为

• 阻塞／重定向路由请求
• 请求头
• 响应头
• post消息监控
• 跨站脚本攻击(XSS)监控
• 重新请求

依次点击这六个工具的选择框，即可选中相应的功能，点击完后Ctrl+R对页面进行刷新，即可弹出相应的工具，接下来，我们分别介绍每个工具的功能。

阻塞／重定向路由请求

该工具允许阻止或重定向浏览器的请求，比如更改jQuery的版本。更改一些参数等等。可以直接通过更改URL并单击允许来实现。

这里打开一个网站，通过分别点击Block和Allow可以分别阻拦和允许加载url内容。还可以单击编辑JavaScript和Css样式表，从而修改javascript和CSS代码本身。右下角底部可选择通过所有请求。

请求头

虽然Block / Reroute请求有助于篡改网站，并取消一些请求，但在许多情况下，还需要修改HTTP请求头。

• 通过点击垃圾箱图标来删除标题，
• 通过单击复制图标复制其值。
• 通过点击[new]按钮添加新标题。
• 最后点击ok可以看到页面重新加载的情况。

响应头

响应标头与请求头完全相同。 它允许您删除，修改或添加新标题。

对于删除或修改许多安全标题（如Content-Security-Policy，X-Frame-Options，X-XSS-Protection等）非常有用。

post消息监控

与其他工具不同，此工具主要用于监控使用HTML5 postMessage() API的网站。

postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信，可以实现跨文本档、多窗口、跨域消息传递。

它记录当前选项卡中所有iframe上收到的每条消息。

它在侦听postMessage的每个处理程序上设置一个断点。

跨站脚本攻击（XSS）监控

Tamper Chrome的另一个非常酷的功能是它允许更好地调试跨站脚本攻击(XSS)漏洞。

当测试XSS时，您可以使用作为HTML元素（当然，它也可以作为一个属性，以Javascript变量形式存在，你也可以使用和）。Tamper Chrome会自动检测它，并显示它的具体位置，堆栈可跟踪它的生成位置。 非常适用于DOM XSS。

重新请求

Tamper Chrome中的最后一个工具是重新请求。 这个工具非常有用，因为它允许修改POST请求的XHR Postdata（即post请求的具体内容，或将POST请求写入GET请求）。

值得注意的地方在于，修改请求后，会生成一个新的请求，这个新的请求可用于修改。

功能上确实比之前的请求修改扩展要强上很多，功能上有点像Burp Suite的缩小版，当然两者定位不一样，体量也不一样，对开发人员来说用足够，对安全测试/渗透测试来说肯定首选择Burp Suite。

https://www.uedbox.com/post/55191/