- 浏览: 278048 次
文章分类
- 全部博客 (276)
- burp+hydra暴力破解 (1)
- kali linux工具集 (6)
- kali (59)
- linux (54)
- password (14)
- web (63)
- 渗透测试 (50)
- windows (40)
- metasploit (9)
- 信息收集 (32)
- burp suit (4)
- 安全审计 (9)
- https://github.com/secretsquirrel/the-backdoor-factory (0)
- nmap (4)
- arachni (2)
- 工具 (5)
- sql (3)
- 网络 (2)
- 后渗透测试 (10)
- 内网 (5)
- 无线 (2)
- C (3)
- bios (1)
- RoR (12)
- mongodb (1)
- linxu (1)
- gdb (1)
- linux,虚拟化 (1)
- python (4)
最新评论
原文:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
kali中已存在该软件
分片-当web数据流通过代理或插件的时候,可以从html页面中抽取脚本和html注释。
代理-观察浏览器和web服务器之前的通信。WebScarab可以窥探HTTP和HTTPS数据流,通过在WebScarab和浏览器直接握手协商一个SSL来实现。有各种插件用于控制通过WebScarab的请求/应答。
手动拦截-允许user带请求/应答到达服务器或浏览器之前,修改HTTP和HTTPS请求/应答
Beanshell-允许在请求/应答上执行复杂的操作。可以执行任何Java表达式
揭露隐藏域-有时在页面中直接修改隐藏域比拦截请求修改更简单。该插件只是转换发现的HTTP页面中的隐藏域到txt域,使他们可见,可编辑。
带宽模拟-允许user模拟一个低速带宽,用来观察网站如何应对一个modem访问。
爬虫-识别新的url,获取它们
手动请求-编辑重放之前的请求,或者创建一个全新的请求。
sessionID分析-收集/分析一系列的cookie,来确定session的随机性和不可预测性。这个分析是试验阶段,不做严肃的检查,例如FIPS。
脚本-可以使用BeanShell(或是在classpath中BSF支持的语言)来写一个脚本来创建请求,从服务器上获取。脚本可以通过WebScarab请求/应答模型来简化分析一些响应。
参数fuzzing-进行自动替换可能没有进行完整性检查,导致例如XSS或sql漏洞的参数值
搜索-允许user制作beanshell表达式来识别对话
比较-比较观察到的对话响应体和选择的基线对话。根据word token来比较
扩展名-自动检测服务器根目录上留下的本不应该留下的文件(例如.bak, ~, 等)。既检查目录又检查文件夹。例如/app/login.jsp将会检查/app/login.jsp.bak, /app/login.jsp~, /app.zip, /app.tar.gz等。文件/文件夹的扩展名可以有用户编辑
XSS/CRLF-该被动分析插件搜索在HTTP响应头/体中由user控制的数据来识别潜在的CRLF注入(http响应分隔)和XSS漏洞
kali中已存在该软件
分片-当web数据流通过代理或插件的时候,可以从html页面中抽取脚本和html注释。
代理-观察浏览器和web服务器之前的通信。WebScarab可以窥探HTTP和HTTPS数据流,通过在WebScarab和浏览器直接握手协商一个SSL来实现。有各种插件用于控制通过WebScarab的请求/应答。
手动拦截-允许user带请求/应答到达服务器或浏览器之前,修改HTTP和HTTPS请求/应答
Beanshell-允许在请求/应答上执行复杂的操作。可以执行任何Java表达式
揭露隐藏域-有时在页面中直接修改隐藏域比拦截请求修改更简单。该插件只是转换发现的HTTP页面中的隐藏域到txt域,使他们可见,可编辑。
带宽模拟-允许user模拟一个低速带宽,用来观察网站如何应对一个modem访问。
爬虫-识别新的url,获取它们
手动请求-编辑重放之前的请求,或者创建一个全新的请求。
sessionID分析-收集/分析一系列的cookie,来确定session的随机性和不可预测性。这个分析是试验阶段,不做严肃的检查,例如FIPS。
脚本-可以使用BeanShell(或是在classpath中BSF支持的语言)来写一个脚本来创建请求,从服务器上获取。脚本可以通过WebScarab请求/应答模型来简化分析一些响应。
参数fuzzing-进行自动替换可能没有进行完整性检查,导致例如XSS或sql漏洞的参数值
搜索-允许user制作beanshell表达式来识别对话
比较-比较观察到的对话响应体和选择的基线对话。根据word token来比较
扩展名-自动检测服务器根目录上留下的本不应该留下的文件(例如.bak, ~, 等)。既检查目录又检查文件夹。例如/app/login.jsp将会检查/app/login.jsp.bak, /app/login.jsp~, /app.zip, /app.tar.gz等。文件/文件夹的扩展名可以有用户编辑
XSS/CRLF-该被动分析插件搜索在HTTP响应头/体中由user控制的数据来识别潜在的CRLF注入(http响应分隔)和XSS漏洞
发表评论
-
kali 2.0 broadcom wifi connection
2015-12-12 16:28 413引用apt-get install -y linux-head ... -
kali2.0中国源
2015-09-27 01:42 423#中科大kali源 deb http://mirrors.us ... -
linux 安装scrapy
2015-09-07 13:06 567由于scrapy对python3支持不是很好,所以使用pyth ... -
nginx reverse proxy cofinguration
2015-08-28 15:18 394based on our case, we need to h ... -
wpscan
2015-08-01 10:39 402https://www.digitalocean.com/co ... -
[转]Tunneling Data and Commands Over DNS to Bypass Firewalls
2015-07-13 20:44 456https://zeltser.com/c2-dns-tunn ... -
arachni-web-ui使用
2015-06-10 01:04 2118最近在玩儿arachni,想试试arachni-ui-web, ... -
linux dd命令
2015-06-06 14:29 346dd if=/dev/hda of=disk.mbr coun ... -
HACKING NODEJS AND MONGODB
2015-06-04 23:52 310http://blog.websecurify.com/201 ... -
php object inject
2015-05-29 00:45 317解释: http://securitycafe.ro/2015 ... -
[转]Forcing XXE Reflection through Server Error Messages
2015-05-19 01:10 415原文地址:https://blog.netspi.com/fo ... -
CVE-2011-2461
2015-03-31 01:19 389http://blog.nibblesec.org/2015/ ... -
[译]从配置错误的web server中dump git数据
2015-03-26 01:07 539原文地址:https://blog.netspi.com/du ... -
[译]解密MSSQL密码
2015-03-26 00:43 2820原文地址: https://blog.ne ... -
自动化Man-in-the-Middle SSHv2攻击
2015-03-18 01:26 1015参考:http://www.david-guembel.de/ ... -
[转]Microsoft Access sqli
2015-03-18 00:57 401https://milo2012.wordpress.com/ ... -
[转]sqlmap注入Microsoft Access
2015-03-18 00:49 1556https://github.com/sqlmapprojec ... -
Wine中使用MinGW
2015-03-17 00:49 625原文:http://null-byte.wonderhowto ... -
crossdomain.xml
2015-03-12 01:23 621参考: https://hackerone.com/repor ... -
[译]使用wireshark解密TLS浏览器流量
2015-03-12 00:57 4027原文地址:https://jimshaver.net/2015 ...
相关推荐
WebScarab-NG And WebScarab 2011
WebScarab入门指南.WebScarab入门指南.WebScarab入门指南.WebScarab入门指南.WebScarab入门指南.WebScarab入门指南.
WebScarab的HTTP代理提供了预期...就基本功能而言,WebScarab和PAROS差不多,但WebScarab为更懂技术的用户提供了更多的功能,并提供了对隐藏的底层更多的访问。但是,由于PAROS更简单,我们仍推荐学者在开始时使用它。
OWASP开发的WebScarab是分析浏览器请求和服务器应答的首选代理。WebScarab除了提供数据包分析功能外,还可以对站点进行Fuzz测试,以寻找上述的漏洞。
webscarab工具使用介绍
webScarab工具及源码 一款代理软件或许没有其它的工具能和OWASP的WebScarab如此丰富的功能相媲美了,如果非要列举一些有用的模块的话,那么他们包括HTTP代理,网络爬行、网络蜘蛛,会话ID分析,自动脚本接口,模糊...
Webscarab工具使用介绍---简单的介绍。
webscarab-one-20110329-1330(最新版) webscarab-one-20110329-1330.jar 1、安装JDK 2、鼠标双击webscarab-one-20110329-1330.jar即可
WebScarab入门教程(图解),拦截和修改浏览器和HTTP/S服务器的请求和响应,进行修改攻击
免费提供给大家,最新版的webscarab
WebScarab协议攻击测试攻击,可以拦截提交数据,进行修改
webscarab 做代理,HTTP截获,安全攻击
WebScarab使用说明WebScarab直接就可以在提交时修改数据,实时攻击,即实现先登录
其原理很简单,WebScarab可以记录它检测到的会话内容(请求和应答),并允许使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;可以用它来调试程序中较难...
通过webscarab,可以很好的对request和response数据包进行篡改,从而获得特殊权限,是http测试必备工具。
The interactive HTTP proxy WebScarab – Installation.pdf
标准的安装包,有时候这个会比较难找 工具本身就不用说了,绝对是最牛的截获工具,而且是免费的 当然,如果你安了不能用的话……那肯定没装jdk^_^
WebScarab 工具源码,开源组织开源工程,有兴趣的可以下载,不过看此工程最好下载下来说明文档,否则不容易理解,本人组织了5人团队,两周才把功能梳理清楚