web安全测试之基本观察学习笔记——使用WebScarab观察实时的POST数据

POST请求时用于提交复杂表单最常见的方法，不同于GET取值，我们无法仅通过查看网页浏览器窗口顶部的URL来得知所有被传递的参数，参数经由连接从我们的浏览器传送到服务器。

我们可以使用web代理工具，观察提交的POST数据，而WebScarab就是一种web代理，代理介于浏览器与真实的web服务器之间，所以利用它可以截获消息并阻止或更改这些消息。

下面是通用的代理架构：

WebScarab与常见的web代理有以下两点不同：

1、WebScarab通常与web客户端运行在一台计算机上，而常规代理则搭建起来作为网络环境的一部分。

2、WebScarab用于显示、存储、操纵HTTP请求和响应中与安全有关的内容。

要使用WebScarab截获数据包，需要先进行浏览器网络代理设置，设置步骤如下：

1、启动WebScarab

2、打开浏览器工具—>选项下的网络，设置代理为127.0.0.1或localhost，端口8008.

3、设置完成后，在浏览器中访问需要提交POST数据的页面，可以在WebScarab查看到截获的数据信息。

按照以上步骤，我利用WebScarab捕获登录CSDN论坛，从捕获的数据可以看到提交的用户名、密码均明文显示，同时还可以看到登录用户的隐藏信息（包括用户IDuserid、登录用户名username、登录密码password、注册邮箱email、上次登录时间lastlogintime、登录次数logintimes、上次登录ip地址lastloginip、是否删除isdeleted、注册ip地址registerip、注册时间registertime、是否激活isActived、角色组role、是否锁定isLocked），有 兴趣的同学可以尝试看下。