web安全实践（1）基于http的架构分析常用工具

核心提示：前言web安全实践系列主要是对《黑客大曝光——web应用安全机密与解决方案（第二版）》的内容做的实践研究和部分编程实现，所以如果您能完全理解那本书可以跳过本文章，web安全实践（1）基于http的架构分析常用工具，另外我需要更多的像我一样的人来参与这项工作，QQ群：23364518，来做web剖

前言

web安全实践系列主要是对《黑客大曝光——web应用安全机密与解决方案（第二版）》的内容做的实践研究和部分编程实现。

所以如果您能完全理解那本书可以跳过本文章。另外我需要更多的像我一样的人来参与这项工作。QQ群：23364518，我的QQ

：717532978.我本想做一个完整的计划总结一些第一手资料的，但现在没有人来做，只能自己先做了。希望通过这一系列的实践，

我能从小菜鸟编程一个高级的菜鸟。废话还是少说的好，我们进入今天的正题。

正文

“工欲善其事，必先利其器”，第一节里我们共同熟悉一下常用的工具，后面的章节还会探讨如何自己动手编写这些工具的一些细节问题。

1.1http扩展工具。

（1）TamperIE。这是来自Bayden系统的浏览器辅助对象。它非常简单，只有两个选项——篡改GET和/或POST。当我们提交这样的请求时，该工具会自动阻断提交，我们可以查看和修改我们提交的信息。这是单单使用IE地址栏所不能完成的内容。

当我们安装完之后，会在IE的这个位置看到它。

接下来是简单的配置。

我们可以选择其中任意一个或全选，当我们选择相应选项之后，通过ie访问相关页面的时候，信息就会被截断。

这里我们可以看到相关的头信息和提交的表单信息以及cookie，我的邮箱的用户名和密码一目了然。当然我们可以在这个时候修改相关参数然后再提交。但是它并没有展示web响应的细节信息。

（2）IEwatch 和IEHeaders，提供了相似的功能。能查看发送和接收的信息，但是不能篡改信息。

（3）HttpWatch Professional,当前版本是4.1.26,是一款强大的网页数据分析工具,可以查看当前网页的http数据,方便大家调试,当然也可以拿来做其他的，譬如抓flash等地址.想知道GMail或者是任何一个AJAX网页时如何和服务器进行数据交互的吗？用这个插件就可以一览无余了。

（4）LiveHttpHeaders。这是一个FireFox扩展工具。它能显示原始的http/S或者每个请求/响应。它的重放特性也允许对数据进行篡改。

（5）TamperData。是一个FireFox扩展，允许跟踪和修改HTTP和Https请求，包括请求头和POST参数。

（6）Modify Headers。FireFox扩展工具。它更适合做永久性修改。

1.2命令行工具

（1）Netcat。它可以帮助我们将网络通信的原始输入输出导出到命令行。看下面的例子。

（2）curl。是一个多平台的命令行工具。可以操作HTTP和https。当需要进行编制脚本进行迭代分析时，Curl是非常强大的。

1.3 http代理。

对于简单的http分析，我们更倾向于浏览器代理，因为它简单快捷。http代理工具通常给我们提供了更加多样化的功能选择。包括http代理，网络爬行，会话ID分析，自动脚本接口，模糊测试工具，解码等功能。好的工具如Paros，OWASP WebScarab等。由于代理工具我们会很少用到，所以我们不做更详细的介绍。

1.4 扫描工具

扫描工具在其他类型的攻击是必不可少的工具，一般分为端口扫描和漏洞扫描。

1.　 常见的端口扫描工具ScanPort ，Angry IP Scanner，Advanced Port Scanner ，linux下的端口扫描如nmap and nwatch等。

2.　 漏洞扫描工具。有Metasploit Framework，Core Impact，Canvas系列的安全平台，还有如xscan等传统的扫描工具。

1.5监听与嗅探工具

这不是我们整个实践中要重点讨论和实践的内容，但web攻击的最终目的还是服务器，所以有效的利用各种资源可以事半功倍。

这方面的工具就不做介绍了，用到的时候再提。

1.6编程工具

因为我的这个实践系列的一个主要内容是编程实现相关的工具和把一些手工过程自动化。我会用vs2005/2008来做我的程序。如果你也想一起做，或者用你自己擅长的语言来写的话，就要准备好你自己喜欢的工具。

简单的对工具做了一个介绍，第二节我们将一起讨论这些工具的综合运用，来做web剖析。第三节会共同学习自己动手编写自己的剖析工具。我希望有更多的人加入进来。