Web安全测试-WebScarab
前台和后台交互的过程中,界面只能做一部分的校验,而我们可以通过拦截请求,修改参数后再发送请求到后台,检测系统处理的正确性。下面介绍一种工具,Webscarab,该工具仅支持http协议。
Webscarab工具使用小结——以登录为例
1、 本地电脑安装jdk。
2、 解压webscarab压缩包。
3、 IE浏览器设置代理:工具-Internet选项-连接-局域网设置中,勾选代理服务器,代理IP为:localhost 或127.0.0.1,端口为:8008
4、 打开webscarab工具;勾选 Proxy-Manual Edit下 Intercept requests。在Methods 中选择GET POST
5、 返回浏览器,输入网址,在打开的网页中输入登录的用户名和密码,点击确定。
6、 在弹出的Intercept requests 界面中,可以查看、修改用户名和密码。
这里用户名和密码加密处理了。
另外:为防止弹出心跳窗口,可以先去掉界面Intercept requests后的对勾。
7、 然后点击Accept changes。发送修改的用户名和密码到后台。