WebScarab中文漢化使用教程WebScarab入門
下載
WebScarab的規范源存儲庫位于GitHub上。可以下載zip存檔。
歷史版本:
或者,您可以從Sourceforge的OWASP源代碼中心下載較舊版本的WebScarab 。然后同樣安裝它們:
- Linux:
java -jar ./webscarab-selfcontained-[numbers].jar - Windows:雙擊安裝程序jar文件,完整的安裝說明將在下節詳細介紹。
介紹
WebScarab是一個框架,用于分析使用HTTP和HTTPS協議進行通信的應用程序。它是用Java編寫的,因此可移植到許多平臺。WebScarab具有多種操作模式,由許多插件實現。在最常見的用法中,WebScarab用作攔截代理,允許操作員在瀏覽器創建的請求發送到服務器之前對其進行審查和修改,并在瀏覽器接收到它們之前對服務器返回的響應進行審查和修改。WebScarab能夠攔截HTTP和HTTPS通信。操作員還可以查看通過WebScarab進行的對話(請求和響應)。
WebScarab具有大量功能,因此對于新用戶而言可能會很復雜。但是,在最簡單的情況下,攔截和修改瀏覽器和HTTP / S服務器之間的請求和響應,不需要學習很多東西。
最初,我將假定您具有對Internet的完全不受限制的訪問權限(也就是說,您不在代理之后)。為了簡單起見,我還將假定您正在使用Internet Explorer。
這就是WebScarab在啟動時的樣子。有幾個主要領域可能需要解釋。
首先,工具欄提供對各種插件的訪問,以及“總結”窗口(主視圖)和消息(日志)窗口。
總結窗口分為兩個部分。頂部是一個樹形表,它將顯示您訪問的站點的布局以及各種URL的一些屬性。下面的表格顯示了WebScarab看到的所有對話,通常按ID反向排序,因此最新的對話位于表格的頂部。如果需要,可以通過單擊列標題來更改排序順序。
為了開始使用WebScarab作為代理,您需要配置瀏覽器以將WebScarab用作代理。使用“工具”菜單在IE中進行配置。選擇工具-> Internet選項->連接->局域網設置以獲取代理配置對話框。
WebScarab默認使用本地主機上的8008端口作為其代理。您需要將IE配置為將請求中繼到WebScarab,而不是像上圖所示那樣本身獲取請求。確保除“使用代理服務器”外,所有復選框均未選中。將IE配置為使用代理后,請在所有對話框中選擇“確定”以返回到瀏覽器。瀏覽到非SSL網站,然后切換到WebScarab。
您應該看到與下一張圖片相似的內容。如果沒有,或者瀏覽時出錯,則應返回并如上所述檢查Internet Explorer中的代理設置。如果代理設置正確,則一種可能性是已經有另一個程序正在使用端口8008,并阻止WebScarab使用它。如果是這樣,則應停止該其他程序。稍后,我還將向您展示如何告訴WebScarab如何使用其他端口。
注意:如果您正在使用WebScarab來測試與瀏覽器運行同一臺計算機(即localhost或127.0.0.1)的站點,并且正在使用IE7,則需要添加點“。” 強制IE7使用您配置的代理后的主機名。這不是WebScarab中的錯誤,而是IE開發人員做出的不幸的設計決策(我認為)。基本上,如果它認為您要訪問的服務器位于本地計算機上,它將忽略任何代理設置。欺騙的一種方法是添加點,如http://localhost./WebGoat/attack 所示。這將強制IE使用您配置的代理。
在這里,您可以看到URL的樹,它表示網站布局,以及通過WebScarab進行的單個對話。要查看特定對話的詳細信息,您可以雙擊表中的一行,然后將打開一個顯示請求和響應詳細信息的窗口。您可以以多種形式查看請求和響應。此處顯示的視圖是“已解析”視圖,其中標題分為表,并且根據其Content-Type標題顯示了請求或響應內容。您也可以選擇“原始”格式,在該格式下,請求或響應的顯示方式與在網絡上看到的完全相同。
您可以使用“上一個”和“下一個”按鈕在對話窗口中從一個對話(請求/響應)轉到下一個對話,也可以使用下拉組合框直接跳至特定對話。
現在您已經熟悉了WebScarab的基本工作原理,并且已確保正確配置了瀏覽器,下一步是攔截某些請求,并在將其發送到服務器之前對其進行修改。
您可以通過代理插件啟用代理攔截,可通過工具欄上的“代理”按鈕進行訪問。然后選擇“手動編輯”選項卡。單擊“攔截請求”復選框后,您可以選擇要攔截的請求方法(最常見的是GET或POST),甚至可以使用“ Ctrl-單擊”選擇多種方法。現在選擇“ GET”。
現在返回瀏覽器,然后單擊鏈接。您應該會看到類似以下窗口的內容(最初可能僅在任務欄中閃爍,只需選擇它即可。以后的窗口將正確彈出)。
現在,您可以編輯所選請求的任何部分。請注意,標頭已顯示為經過URL解碼,并且您鍵入的任何內容都將自動進行URL編碼。如果您不希望發生這種情況,則應使用Raw模式。在某些情況下,無論如何,使用Raw模式可能是最簡單的,尤其是當您希望粘貼某些內容時。
對更改滿意后,請單擊“接受更改”按鈕,以將修改后的請求發送到服務器。如果您決定要還原到目前為止所做的更改,則可以單擊“取消更改”按鈕,以將原始請求發送到服務器。如果根本不想向服務器發送請求,也可以單擊“中止請求”按鈕。這會將錯誤發送回瀏覽器。最后,如果打開了多個攔截窗口(例如瀏覽器同時使用多個線程),則可以使用“取消所有攔截”按鈕釋放所有請求。
WebScarab將繼續攔截所有與您指定的方法匹配的請求,直到您在攔截對話窗口或Proxy插件的“手動編輯”選項卡中取消選中“攔截請求”復選框為止。但是您可能想知道為什么WebScarab不會攔截對圖像,樣式表,javascript等的請求。如果返回“手動編輯”選項卡,您將看到一個標有“排除匹配的路徑:”的字段。此字段包含與請求URL匹配的正則表達式。如果存在匹配項,則永遠不會攔截該請求。
如果您想更改頁面某些部分的行為,還可以將WebScarab配置為攔截響應。例如,您可以禁用JavaScript驗證,更改SELECT字段中可能項目的列表,等等。
推薦文章: