最近我一直深入研究Web应用程序的安全性。在浏览时,我发现了OWASP的WebScarab Tool,它可以将可能的攻击注入您的Web应用程序并使您的应用程序易受攻击。
我正在使用该工具拦截基于JSF 1.2 Framework通过我的Web应用程序发出的任何请求。使用时我观察到在表单字段中输入的任何值都显示为此工具中的HttpRequest。您可以修改这些值,它将自动创建一个新的请求标题,并且显着地将修改后的值插入到数据库中。
这不是潜在的攻击吗?我的意思是任何人都可以拦截任何HttpRequest并在工具的帮助下修改参数并注入一些恶意内容,
我的问题是:
答案 0 :(得分:0)
WebScarab是代理:
WebScarab作为拦截代理运行,允许操作员在浏览器发送到服务器之前查看和修改浏览器创建的请求,并在浏览器收到服务器之前检查和修改从服务器返回的响应。
但这需要客户端(例如您的网络浏览器)实际use the proxy:
要开始使用WebScarab作为代理,您需要将浏览器配置为使用WebScarab作为代理。这是使用“工具”菜单在IE中配置的。选择工具 - >互联网选项 - >连接 - > LAN设置以获取代理配置对话框。
因此,只能拦截使用WebScarab代理的客户端的通信。
答案 1 :(得分:0)
使用WebScarab或其他UI拦截工具,人员可以在处理从客户端到服务器的请求之间更改事务数据。
基本上,可以通过在应用程序的客户端和服务器端应用相同的验证来避免这种情况。 例如,如果应用程序具有更改pwd功能,并且有人尝试使用Interceptor并使用新截获的Pwd修改pwd,则保存它应该在服务器端验证,无论用户是否输入了正确的密码。