web安全测试之基本观察学习笔记——使用WebScarab观察实时的POST数据

来源:清泛编译     2016-06-13 09:52:02    人气:     我有话说( 0 人参与)

清泛网(www.tsingfun.com):web安全测试之基本观察学习笔记——使用WebScarab观察实时的POST数据POST请求时用于提交复杂表单最常见的方法,不同于GET取值,我们无法仅...

web安全测试之基本观察学习笔记——使用WebScarab观察实时的POST数据

POST请求时用于提交复杂表单最常见的方法,不同于GET取值,我们无法仅通过查看网页浏览器窗口顶部的URL来得知所有被传递的参数,参数经由连接从我们的浏览器传送到服务器。

我们可以使用web代理工具,观察提交的POST数据,而WebScarab就是一种web代理,代理介于浏览器与真实的web服务器之间,所以利用它可以截获消息并阻止或更改这些消息。

下面是通用的代理架构:

WebScarab与常见的web代理有以下两点不同:

1、WebScarab通常与web客户端运行在一台计算机上,而常规代理则搭建起来作为网络环境的一部分。

2、WebScarab用于显示、存储、操纵HTTP请求和响应中与安全有关的内容。

 

要使用WebScarab截获数据包,需要先进行浏览器网络代理设置,设置步骤如下:

1、启动WebScarab

2、打开浏览器工具—>选项下的网络,设置代理为127.0.0.1或localhost,端口8008.

3、设置完成后,在浏览器中访问需要提交POST数据的页面,可以在WebScarab查看到截获的数据信息。

按照以上步骤,我利用WebScarab捕获登录CSDN论坛,从捕获的数据可以看到提交的用户名、密码均明文显示,同时还可以看到登录用户的隐藏信息(包括用户IDuserid、登录用户名username、登录密码password、注册邮箱email、上次登录时间lastlogintime、登录次数logintimes、上次登录ip地址lastloginip、是否删除isdeleted、注册ip地址registerip、注册时间registertime、是否激活isActived、角色组role、是否锁定isLocked),有 兴趣的同学可以尝试看下。

标签: WebScarab  web  安全测试 

注:本文为本站或本站会员原创优质内容,版权属于原作者及清泛网所有,
欢迎转载,转载时须注明版权并添加来源链接,谢谢合作! (编辑:admin)