問(wèn)題

內(nèi)置功能，比如JavaScript驗(yàn)證或文本長(zhǎng)度限制，可能會(huì)禁止中規(guī)中矩的網(wǎng)頁(yè)瀏覽器發(fā)送特定種類的惡意輸入。但是，攻擊者有許多種方法可用來(lái)繞過(guò)這些客戶端的限制。為了測(cè)試這種情況，我們將向你演示如何從瀏覽器外部發(fā)送修改過(guò)的請(qǐng)求。

解決方案

啟動(dòng)WebScarab并配置Firefox用它作為代理（正如第3章所描述的那樣）。登錄你的應(yīng)用并導(dǎo)航到你希望測(cè)試的功能。在你做好提交請(qǐng)求的準(zhǔn)備但還沒(méi)有提交的時(shí)候，打開(kāi)WebScarab。

在WebScarab中，通過(guò)Internet選項(xiàng)卡，單擊“Intercept Requests”復(fù)選框。從此以后，WebScarab將向你提示每個(gè)新頁(yè)面或AJAX請(qǐng)求。它會(huì)詢問(wèn)你是否希望在請(qǐng)求發(fā)送到服務(wù)器之前對(duì)它進(jìn)行編輯。注意，只有在你確認(rèn)或拒絕請(qǐng)求之后，頁(yè)面才會(huì)載入。

在“Edit Request”窗口中，你可以隨意插入、修改或刪除請(qǐng)求頭。雙擊任意請(qǐng)求頭即可開(kāi)始修改——你甚至可以修改左側(cè)的請(qǐng)求頭名稱。在圖5-1中，你可以看到對(duì)SSN變量的修改。

另外，你可以通過(guò)Raw選項(xiàng)卡以純文本形式編輯原始請(qǐng)求。這方便了對(duì)整個(gè)請(qǐng)求的復(fù)制和粘貼，這樣你就可以在以后重復(fù)完全相同的測(cè)試。將請(qǐng)求粘貼到測(cè)試用例中來(lái)保存它，你就能夠保存數(shù)據(jù)用于回歸測(cè)試。

完成之后，你可以通過(guò)取消選中任何一個(gè)“Edit Request”窗口中的復(fù)選框來(lái)禁止對(duì)請(qǐng)求的截獲。如果有許多等待中的請(qǐng)求，就可以使用“Cancel ALL Intercepts”按鈕。

討論

作為Web代理（有關(guān)Web代理的更多信息，看第三章），WebScarab在數(shù)據(jù)離開(kāi)你的瀏覽器但還沒(méi)有到達(dá)服務(wù)器的時(shí)候?qū)ζ溥M(jìn)行截獲和修改。通過(guò)在中途修改數(shù)據(jù)，它能夠避開(kāi)頁(yè)面指定的所有限制或修改。

注意，啟用“Intercept Requests”之后，在瀏覽時(shí)，每個(gè)新的頁(yè)面都會(huì)啟動(dòng)一個(gè)“Edit Request”窗口。不要忘記取消選中“Intercept Requests”!如果你在完成之后忘記將它關(guān)閉，那么你必須來(lái)回單擊幾個(gè)Edit Request窗口，非常惱人。

注意，圖5-1中的SSN變量傳送了5個(gè)數(shù)字。而例5-1的HTML源代碼將SSN域限制為4個(gè)字符，如圖5-2所示。

在原本應(yīng)該是4位數(shù)字的域中發(fā)送5位數(shù)字，這只不過(guò)是WebScarab使之成為可能的修改種類的一個(gè)例子。一旦你建立了提供不尋常數(shù)據(jù)的能力，就應(yīng)該確保你的應(yīng)用能夠得體地處理這些異常。

WebScarab允許你修改所有請(qǐng)求頭，甚至是請(qǐng)求將被發(fā)送到的URL.這使得它能夠方便地同時(shí)修改GET和POST信息，這種功能是其他工具（比如TamperData）所沒(méi)有的。

謹(jǐn)慎使用WebScarab

在你截獲請(qǐng)求時(shí)，你是捕獲到AJAX驅(qū)動(dòng)的功能以及單獨(dú)的表單提交。每個(gè)AJAX請(qǐng)求可以被單獨(dú)截獲和修改。記住，大量使用AJAX的站點(diǎn)會(huì)產(chǎn)生許多請(qǐng)求，有可能會(huì)爆炸式地彈出許多被截獲請(qǐng)求窗口。

此外，使用WebScarab需要配置整個(gè)網(wǎng)頁(yè)瀏覽器作為代理，而不是針對(duì)單個(gè)窗口、選項(xiàng)卡或站點(diǎn)。在有些情況下（Internet Explorer或Mac OS X上的Safari）,你實(shí)際上是設(shè)計(jì)整個(gè)操作系統(tǒng)使用這個(gè)代理。這意味著每次軟件更新檢查，后臺(tái)HTTP連接或者使用HTTP的應(yīng)用會(huì)突然將自己的所有請(qǐng)求都通過(guò)WebScarab來(lái)發(fā)送，這可能是數(shù)量巨大的，而且它會(huì)妨礙你搜集與單個(gè)請(qǐng)求有關(guān)的數(shù)據(jù)的能力。

因而，在你使用WebScarab時(shí)，請(qǐng)確保盡量減少同時(shí)運(yùn)行的其他使用HTTP的程序的數(shù)量（Adobe Reader、其他瀏覽器窗口、缺陷跟蹤系統(tǒng)等等）。