WebScarab |
Фреймворк для анализа приложений, взаимодействующих по протоколам HTTP и HTTPS .
WebScarab имеет несколько режимов работы, реализованные в ряде плагинов. WebScarab работает в основном как перехватывающий прокси-сервер, что позволяет оператору просматривать и редактировать запросы, созданные в браузере перед их отправкой на сервер, а также рассматривать и изменять ответы возвращаемые с сервера, прежде чем они поступят в браузер. WebScarab может перехватывать HTTP и HTTPS. Оператор также может просматривать сеансы (запросы и ответы), которые прошли через WebScarab.
Там нет блестящих красных кнопок, это инструмент, прежде всего, предназначен для людей, которые могут сами писать код, или, по крайней мере, имеют довольно хорошее представление о протоколе HTTP.
WebScarab обеспечивает ряд модулей, в основном по безопасности.
------------------------
Восстановление сайтов из Вебархива
Размещение по доскам объявлений России
ТРИО теплый пол отзыв
Заработок на сокращении ссылок
Earnings on reducing links
Код PHP на HTML сайты
WebScarab имеет несколько режимов работы, реализованные в ряде плагинов. WebScarab работает в основном как перехватывающий прокси-сервер, что позволяет оператору просматривать и редактировать запросы, созданные в браузере перед их отправкой на сервер, а также рассматривать и изменять ответы возвращаемые с сервера, прежде чем они поступят в браузер. WebScarab может перехватывать HTTP и HTTPS. Оператор также может просматривать сеансы (запросы и ответы), которые прошли через WebScarab.
Там нет блестящих красных кнопок, это инструмент, прежде всего, предназначен для людей, которые могут сами писать код, или, по крайней мере, имеют довольно хорошее представление о протоколе HTTP.
WebScarab обеспечивает ряд модулей, в основном по безопасности.
- Фрагменты - извлеченные комментарии скриптов и html страниц, которые видно через прокси.
- Прокси - исследует трафик между браузером и веб-сервером. WebScarab прокси наблюдает как HTTP и зашифрованный HTTPS соединяется по SSL между WebScarab и браузером, вместо прямого подключения браузера к серверу. Различные прокси плагины были также разработаны, чтобы позволить оператору контролировать запросы и ответы, которые проходят через прокси-сервер.
- Ручной перехват позволяет пользователю изменять HTTP и HTTPS запросы и ответы на лету, прежде чем они достигнут сервера или браузера.
- Beanshell позволяет выполнять любые сложные операции с запросами и ответами. Всё что можно выразить на Java можно выполнить.
- Показывать скрытые поля. Иногда легче изменить скрытые поля на самой странице, а не перехватывать запрос после его отправки. Этот плагин просто изменяет все скрытые поля, найденные на HTML страницах, в текстовые поля, делая их видимыми и доступными для редактирования.
- Симулятор пропускной способности позволяет эмулировать медленные сети, чтобы наблюдать как сайт будет выполняться, скажем через модем.
- Паук идентифицирует новые адреса на целевом сайте, и получает их по команде.
- Ручной запрос позволяет редактировать и повторять предыдущие запросы, или создавать совершенно новые запросы.
- Анализатор SessionID собирает и ряд cookies для визуального определения степени случайности и непредсказуемости. Обратите внимание, этот анализ довольно тривиален и не делать каких-либо серьезных проверок, таких как FIPS, и т.д.
- Scripted. Можно использовать BeanShell (или любой другой BSF поддерживает язык найденный в classpath), чтобы написать сценарий для создания запросов и выборки их с сервера.
- Параметр fuzzer автоматически заменяет значения параметров, которые могут подвергаться неполной проверке, что приводит к таким уязвимостям как XSS и SQL.
- Поиск позволяет обработать произвольные выражения BeanShell для идентификации сеансов, которые должны быть показаны в списке.
- Compare вычисляет расстояние редактирования между телом отклика наблюдаемого сеанса и выбранной базовой линией сеанса. Расстояние редактирования это число редактирований необходимое для преобразования одного документа в другой. Для повышения производительности, редактирования рассчитываются с использованием токенов слов, а не побайтно.
- SOAP - плагин который анализирует WSDL и представляет различные функции и требуемые параметры, что позволяет им быть отредактированными до передачи на сервер. Примечание: этот плагин устарел и должен быть удалён в будущем. SOAPUI is streets beyond anything that Webscarab can do, or will ever do, and is also a free tool.
- Расширения автоматизируют проверку файлов, которые были ошибочно оставлены в корневом каталоге веб-сервера (например, .bak, ~, и т.д.). Проверки выполняются для файлов и каталогов, например /app/login.jsp будет проверятся на /app/login.jsp.bak, /app/login.jsp~, /app.zip, /app.tar.gz, и т.д. Расширения для файлов и каталогов может редактировать пользователь.
- XSS/CRLF - пассивный модуль анализа, который ищет контролируемые пользователем данные в заголовке и в теле HTTP ответа с целью выявления потенциальных инъекции CRLF (расщепление HTTP ответа) и отраженных XSS уязвимостей.
------------------------
Восстановление сайтов из Вебархива
Размещение по доскам объявлений России
ТРИО теплый пол отзыв
Заработок на сокращении ссылок
Earnings on reducing links
Код PHP на HTML сайты
Категория: Безопасность
Комментарии |