1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Học phần: An toàn mạng Bài báo cáo: Tìm hiểu về công cụ WebScarab

30 46 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 30
Dung lượng 1,79 MB

Cấu trúc

  • I. Lời mở đầu (4)
  • II. Giới thiệu (6)
  • III. Cài đặt (8)
    • 3.1. Cài đặt webscarab (8)
    • 3.2 Cấu hình (11)
      • 3.2.1. Network proxy (11)
      • 3.2.2. Local proxy (13)
      • 3.2.3. Cấu hình Listeners (14)
      • 3.2.4. Cấu hình trình duyệt (15)
  • IV. Demo (16)
    • 4.1. Intercepting and modifying conversations (16)
    • 4.2. Access Data (20)
  • V. So sánh, đánh giá (24)
  • VI. Tài liệu tham khảo (27)

Nội dung

Giới thiệu

WebScarab là công cụ mã nguồn mở do Dự án Bảo mật Ứng dụng Web Mở (OWASP) phát triển, được viết bằng Java để tương thích với nhiều hệ điều hành Tuy nhiên, từ năm 2013, sự phát triển của WebScarab đã chậm lại, và Dự án Zed Attack Proxy (ZAP) của OWASP đã trở thành người kế nhiệm chính thức, mặc dù ZAP được tách ra từ Paros Proxy, không phải từ WebScarab.

WebScarab là một công cụ phân tích lỗ hổng và gỡ lỗi ứng dụng dựa trên Java, dành cho những người có kiến thức vững về HTTP và khả năng lập trình Công cụ này không phù hợp cho người mới bắt đầu.

WebScarab hoạt động như một proxy, kết nối giữa máy khách và trình duyệt ứng dụng Nó cho phép trình duyệt truy cập các ứng dụng web và dịch vụ web một cách hiệu quả, giúp theo dõi và phân tích lưu lượng dữ liệu giữa hai bên.

- Cho phép người dùng xem các cuộc hội thoại HTTP(S) giữa trình duyệt và server

- Cho phép người dùng chặn và sửa đổi khi đang trao đổi

- Cho phép người dùng phát lại các yêu cầu trước đó

- Cho phép người dùng viết kịch bản cho các cuộc hội thoại với đầy đủ quyền truy cập vào đối tượng yêu cầu và phản hồi object models

Công cụ này không chỉ cung cấp các tính năng giống như các công cụ kiểm tra an ninh website khác, mà còn có khả năng tự động quét các liên kết của mục tiêu như một con nhện, từ đó tạo ra các kịch bản để kiểm tra lỗ hổng bảo mật trên những liên kết đó.

- Các lỗ hổng có thể được phát hiện bởi công cụ: SQL injection, XSS< CRLF và nhiều hơn nữa.

Cài đặt

Cài đặt webscarab

- Bước 1: Cài đặt hệ điều hành Kali Linux

- Bước 2: Khởi động Eerminal Emulator

- Bước 3: Nhập lệnh sudo apt install webscarab

Hình 1 Cài đặt Webscarab

- Bước 4: sau khi cài đặt thành cộng nhập lệnh webscarab để khởi động tool

Hình 2.khởi động webscarab

Hình 3 Giao diện WebScarab

Cấu hình

- Nếu bạn sử dụng proxy để kết nối với internet, bạn sẽ cần phải định cấu hình

Để kiểm tra xem trình duyệt web của bạn có đang sử dụng network proxy hay không, bạn có thể thực hiện các cài đặt tương tự như trong WebScarab.

Tools > Options > Advanced > Network > Settings

Tools > Internet Options > Connections > LAN settings > Advanced

Tools > Preferences > Advanced > Network > Proxy servers

- Để cấu hình proxy, hãy nhấp vào Proxy trong menu Tools:

Hình 5 Nhập (hoặc xóa) cài đặt proxy

Để gửi và nhận yêu cầu HTTP, chỉ cần thiết lập network proxy WebScarab có khả năng hoạt động như một tác nhân người dùng, tương tự như trình duyệt của bạn.

- Tuy nhiên, WebScarab hữu ích nhất khi bạn định cấu hình nó làm proxy cục bộ cho các trình duyệt web hiện có

Hình 8 Cấu hình listeners 1

Hình 9 Cấu hình listeners 2

Hình 10 Cấu hình trình duyệt

Demo

Intercepting and modifying conversations

- Dùng WebScarab để tiến hành bắt gói tin từ request gửi đi và chỉnh sửa gói tin đó

- Truy cập http://tapiocafeedfood.com/

Hình 11 Ấn đặt mua

- chọn transform -> convert GET to Post

Hình 13 Convert GET to POST

- sửa id 306 thành 306 303 303 302 - > ấn accept changes

Hình 15 Sửa thành thông

Access Data

- Vào Summary, chọn host rồi chọn use as fruzzer template (Summary hiển thị tất cả lưu lượng truy cập theo thời gian)

Hình 18 Lấy được dữ liệu

- Nhấn 2 lần vào dòng dưới

So sánh, đánh giá

Hình 22 so sánh giữa WebScarab và Zed Attack

Zed Attack Proxy (ZAP) là một công cụ kiểm tra thâm nhập dễ sử dụng, giúp phát hiện lỗ hổng trong các ứng dụng web Được thiết kế cho cả những người có kinh nghiệm bảo mật, ZAP lý tưởng cho các nhà phát triển và người dùng muốn tăng cường an ninh cho ứng dụng của mình.

- Fiddler là một Proxy gỡ lỗi Web ghi lại tất cả lưu lượng HTTP (S) giữa máy tính của bạn và

Fiddler là một công cụ mạnh mẽ cho phép bạn theo dõi toàn bộ lưu lượng HTTP(S), thiết lập điểm dừng và chỉnh sửa dữ liệu gửi đi hoặc nhận về Ngoài ra, Fiddler còn tích hợp một hệ thống kịch bản giúp người dùng tùy chỉnh và tối ưu hóa quá trình kiểm tra.

Charles là một công cụ proxy HTTP và proxy ngược, giúp các nhà phát triển theo dõi toàn bộ lưu lượng HTTP và SSL/HTTPS giữa máy tính của họ và Internet Nó cho phép xem các yêu cầu, phản hồi và tiêu đề HTTP, bao gồm cả cookie và thông tin bộ đệm.

- Shodan là một công cụ tìm kiếm cho phép bạn tìm các máy tính cụ thể (bộ định tuyến, máy chủ, v.v.) bằng nhiều bộ lọc khác nhau

Một số người cũng đã mô tả nó như một thư mục quét cổng công cộng hoặc công cụ tìm kiếm các biểu ngữ

Apptalk.ninja là một công cụ tuyệt vời và dễ sử dụng cho các nhà phát triển ứng dụng, giúp họ theo dõi và gỡ lỗi các vấn đề liên lạc trong ứng dụng Với apptalk.ninja, các nhà phát triển có thể tận dụng sức mạnh ninja siêu phàm để theo dõi hiệu suất và cải thiện trải nghiệm người dùng.

Rest Client là một công cụ mạnh mẽ giúp các nhà phát triển dễ dàng gỡ lỗi và kiểm tra các dịch vụ web RESTful Nó hỗ trợ gửi yêu cầu đến một URL thông qua các phương thức HTTP như GET, POST và PUT, mang lại sự linh hoạt trong quá trình phát triển ứng dụng.

Ngày đăng: 09/02/2022, 14:02

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w