数据修改大师Tamper Data

　　如果你只能为自己的浏览安装一个安全卫士，则非“Tamper Data”莫属。过去，笔者用Paros Proxy 和 Burp Suite来阻止浏览器和Web服务器之间的请求信息和响应。现在这些任务可以借助于Firefox和Tamper Data实现，而无需对代理进行配置。易用就好嘛。

　　现在用浏览器上网冲浪离不开cookie,它是由 Web 页服务器置于你硬盘上的一个非常小的文本文件。或许可以这样讲它是你的身份证。虽然它只能由提供它的服务器来读取，不过它会泄露你的信息。如果你想访问的网站需要一个唯一的cookie，或者说用户代理，那么笔者建议你在将cookie发送到Web服务器之前，先用Tamper Data截获其请求。然后，对其属性进行增加、修改等操作，然后再发送。我们甚至也可以在浏览器解释来自Web服务器的响应之前，对这种响应加以修改。我们觉得安全的则留，不安全的则弃之。岂不妙哉!总之，这是一款对Web应用程序的安全感兴趣的众多网友的好工具。

　　下面给出Tamper Data的日志窗口：(图1)



   图　1

　　Tamper Data的修改窗口：(图2)

 

安全高于一切：Paros和 Burp
　　1.Paros

　　正如其开发团队所言，Paros这个程序是为那些需要评估其Web应用程序的安全性而设计的。它用Java语言编写，并完全免费。通过Paros的代理特性，服务器和客户端的所有的HTTP和HTTPS数据，包括cookies和表单字段，都可以被截获和修改。

　　其功能当然是不错了。如捕捉功能，即可以手动捕捉和修改HTTP(和HTTPS)的请求和响应;过滤器功能，即对HTTP消息模式进行检测并发出警告，帮助用户处理;扫描功能，即可以扫描一些常见的漏洞;日志功能，即允许用户查看并检查所有的HTTP请求/响应内容。等等。如下图3



　　                                                                图　3

　　2.Burp套件

　　其实，Burp套件是一个用于攻击Web应用程序的集成性的平台。它包含很多工具，如代理服务器、圈套程序、入侵程序、转发程序等，拥有许多接口，可以促进、加强攻击Web应用程序的进程。所有的插件共享Burp的健壮框架，可以处理HTTP请求、认证、下游代理(downstream proxies)、日志、警告、可扩展性要求等。

　　Burp套件允许一个攻击者将手动的和自动的技术结合起来，列举、分析、攻击并查找web应用程序的漏洞。多种Burp工具有效地结合起来，可以共享信息，并且允许用一种工具找到的漏洞来形成用另外一种工具攻击的根据。

　　●其关键特性有：

　　(1)能够被动地以一种非入侵方式“圈住”一个应用程序，并可使所有的请求都起源于用户的浏览器。

　　(2)一次单击就可以在插件之间传送数据请求。

　　(3)通过IburpExtender接口进行扩展，这也就容许了第三方的代码扩展Burp套件的功能。由一个插件处理的数据可以用任意的方式来影响另外一个插件的行为和结果。

　　(4)可以为下游代理、Web、代理认证和日志集中配置。

　　●Burp套件的下载地址为http://portswigger.net/suite/

　　如果你对这些工具感兴趣，不妨下载试试。一定会为你带来惊喜的。