Tamper Data使用–WEB服务器调试/XSS攻击/sql注入利器

一. 简介

作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数;可以用来跟踪 HTTP 请求和响应并记时;可以对 WEB 站点进行某些安全测试,从而为调试 WEB 配置带来了极大的便利,是网站维护人员不可多得的实用工具;当然也可以用来篡改请求数据,达到xss攻击、mysql注入的目的。

安装地址:https://addons.mozilla.org/en-us/firefox/addon/tamper-data/

二. 使用

点击 Firefox 菜单栏上“工具”菜单项里面的“Tamper Data”,就会弹出 Tamper Data 的主窗口,如下图所示:

img758_1

 

可以看出,其主窗口主要分成三部分,分别如图中的 1,2,3 所示。当我们打开 Tamper Data 后,我们浏览网页时发出的每一个 HTTP 请求及其对应的响应都会被 Tamper Data 记录下来,上面的区域显示了浏览器的各个通信情况。类似Firefox下著名的抓包扩展Httpfox,这里详细记录了:“网址”、“所耗时间”、“页面大小”、“请求方式”、“状态”、“Content Type”等信息。

第 1 部分显示每一个 HTTP 请求及其对应的 HTTP 响应的概要信息,其中包括了大量有用的信息,比如页面元素大小,HTTP 请求的方法,HTTP 响应的状态值,等等。最 值得注意的是“Duration”和“Total Duration”这两个字段的值,他们显示出了打开每一个页面元素所花费的时间和打开该页面花费的总时间。根据这些时间值,就可以判断出打开我们页面的 速度如何,是哪些页面元素影响了整个页面打开的速度,从而为我们进一步优化页面提供宝贵的信息。当我们在第 1 部分选中某条概要信息后。

第 2 部分会显示出对应的 HTTP 请求的头部信息。

第 3 部分会显示出对应的 HTTP 响应的头部信息。

如果我们比较喜欢查看图型化的统计信息,那么可以在 Tamper Data 主窗口的第 1 部分单击右键,在弹出的菜单上点击“Graph All”,如下图所示,那么这些每个页面元素及其打开它们所花费的时间,就会以图形的方式,直观地显示出来。具体的图形,就不提供了。

Httpfox等专业的抓包扩展相比,Tamper Data所展现的信息也仅仅算是合格,表现中规中矩。但是,术业有专攻,正如它的名字一样,它不同于Httpfox的“可远观而不可亵玩焉”,,Tamper Data的真正用途是窜改数据。

点击“Start Temper”按钮,这时浏览器所发送的任何请求,都会被拦截下来。例如,我们尝试在贴吧发个帖子。当按下“发表”按钮的时候,它会弹出一个对话框:

img758_2

我们可以选择“Tamper”和“Submit”还有“Abort Request”。中间的按钮是让其通过,第三个按钮是终止请求,现在,我们点击第一个按钮“Tamper”。

img758_3

这样,平时在用户角度,完全是黑盒的http header和post等信息展现了出来。左侧是http header信息,右侧我们可以看到即将要提交到贴吧服务器的post信息,比如title(帖子标题)、content(帖子内容)、 anonymous(是否匿名)等。这些属性值,都是可以编辑的。按下“确定”按钮,这些修改后的信息就会提交到目标服务器。

我们也可以分别在两侧的空白处,右击鼠标,添加header和post信息:

img758_4

另外,Tamper Data也提供了一些日常的测试功能:

img758_5

xss:一些常用的XSS(跨站脚本攻击)。
sql:一些SQL注入的语句。
data:一些特殊(非预期)的数据,扰乱程序正常的逻辑。
典型利用场所:
1.月份数据溢出,直接变0,实现支付绕过:http://www.wooyun.org/bugs/wooyun-2012-05353
2.逆向支付,给账户充值:http://www.wooyun.org/bugs/wooyun-2012-06589
此外,还有常见的ua什么的。

一 言蔽之,Tamper Data 就是一个“窜改数据”的扩展。既提供了一些常见的抓包功能,也能窜改自己的Header与Post信息。麻雀虽小五脏俱全,与传统的Fiddler这些代 理服务器抓包程序不同,Tamper Data仅使用浏览器API完成这一切(弱点是对于服务端的某些post检验,Tamper Data往往会无能为力),但对于日常一些简单的Web调试,或许有意想不到的功效。

发表评论

电子邮件地址不会被公开。 必填项已用*标注