HTTP請求生成器

使用“請求構建器”工具，您可以處理HTTP請求，包括：

• 向目標發送請求
• 修改導入的HTTP請求
• 在進行手動漏洞評估，排查特定問題或嘗試識別邏輯Web漏洞時，創建您自己的HTTP請求
• 進一步分析和利用Web漏洞掃描程序在掃描期間發現的漏洞
• 分析目標Web應用程序發回的HTTP響應

HTTP請求構建器僅在Netsparker Standard中可用。

使用HTTP請求和請求生成器

Request Builder是一個方便的工具，可讓您創建自己的HTTP請求。您甚至可以修改導入的HTTP請求并將其發送到目標。因為該工具非常用戶友好，所以也很容易分析目標發回的HTTP響應。

HTTP方法，協議，FQDN和路徑

此屏幕快照顯示了HTTP請求第一部分的示例，其中我們配置了HTTP方法（也稱為HTTP動詞），協議，FQDN，端口號，路徑和協議版本。

下表列出并說明了每個可配置的參數。

HTTP標頭和參數

這是HTTP請求的第二部分：HTTP標頭和參數。

HTTP頭

• 在“類型”列中，選擇“標題”，然后在“值”列中指定其值。

下表列出并說明了每個標題。

注意：HTTP標頭通常用于與請求一起發送cookie，以指定客戶端支持的壓縮類型等等。以上只是最基本的HTTP請求的示例。

GET / POST參數

• 要添加參數，請從“類型”下拉菜單中選擇“ GET參數”或“ POST參數”，然后在“值”列中指定參數的值。
• GET參數將附加到查詢字符串。
• 對于POST參數，將生成一個請求正文。默認情況下，內容類型將為application / x-www-form-urlencoded。

文件參數

• 文件參數可用于模擬文件上傳請求。要添加文件參數，請從類型下拉菜單中選擇文件參數，然后單擊省略號圖標（），這將打開一個用于選擇文件的對話框。

編碼標題和參數值

• 如果選中了“編碼”列中的復選框以查找標頭或參數，則表示您輸入的值已編碼，將按原樣發送
• 如果未選中，則表示您指定的值未編碼，發送到目標時將被編碼

如何將HTTP請求導出到請求生成器

1. 首先運行掃描并顯示其結果。

2. 在“ 站點地圖”面板中，找到相關漏洞（例如，通過HTTP傳輸的密碼），右鍵單擊并選擇“ 發送到請求構建器”。

3. 中央面板現在顯示“ 請求構建器” 選項卡。
4. 導出后，您可以使用“請求構建器”來修改HTTP請求。例如，您可以修改現有標頭的值或名稱，并添加或刪除HTTP標頭。HTTP請求中的GET和POST方法（例如）也是如此。您還可以通過單擊RAW選項卡來手動編輯HTTP請求，該選項卡顯示原始HTTP請求（純文本格式）。

可選：在HTTP請求中添加請求正文

如果需要將更多數據添加到HTTP請求正文中，請選擇 “ HTTP頭和參數”部分下方的“ 啟用原始請求正文” ，然后輸入數據。

如果未啟用原始請求正文，則會自動生成帶有添加的POST參數的請求正文。

如何發送HTTP請求并分析HTTP響應

1. 打開并完成掃描后，在Netsparker Standard中完成HTTP請求后，單擊RAW 選項卡。這將顯示原始HTTP請求（實際發送到目標的格式）。

2. 單擊發送請求 以發送HTTP請求并接收HTTP響應。

3. 收到響應后，您可以在RAW選項卡中以原始格式（實際的HTTP標頭和HTML代碼）查看響應。請注意，以這種格式查看時，您還可以在響應中搜索特定文本。

4. 單擊“ 標題”選項卡以查看HTTP標題和“ 瀏覽器視圖” 以查看響應在瀏覽器中的顯示方式。請注意，在瀏覽器模式下，所有腳本均被禁用，這就是為什么您只能看到響應的結構的原因。

日志請求選項

您還可以通過啟用“ 日志請求” 選項來記錄已建立，導入或發送到目標的所有HTTP請求的記錄。

這意味著所有HTTP請求都保留在“歷史記錄”窗口中：

• 從那里，您可以通過雙擊輕松地重新加載HTTP請求。
• 您還可以修改已加載的HTTP請求并重新發送。修改后的版本還將作為其他HTTP請求記錄在“歷史記錄”窗口中（并且該HTTP請求的舊版本不會被覆蓋）。
• 發送的HTTP請求的歷史記錄僅針對現有會話保留。一旦關閉或重新啟動Netsparker Standard，HTTP請求生成器的歷史記錄就會丟失。另外，默認情況下禁用“日志請求”選項。因此，如果要存儲HTTP請求，請在開始處理它們之前將其啟用。