WebScarabの機能とか
今更だけどちといろいろいじってみたので、メモ代わりw
- Proxy
Proxyとして機能して、リクエストを取得することができる。
- Intercept
受け取ったリクエスト/レスポンスをインターセプトして、内容を書き換えることができる。内容の変更にはRAWデータでも、パースされてわかりやすくなったリクエストでもOK。
- BeanShell
受け取ったリクエスト/レスポンスをJavaで記述したコードで自動で変更することができる。ちとAPIの説明が少ないのが欠点かな?
- Reveal hiddenフィールド
レスポンスのHTMLを書き換えて、Hiddenフィールドを可視化する
- Manual Request
- Parameter Fuzzer
GUIでオリジナルリクエストを作成し、別途指定した値で各パラメータに書き換えて送信する。テストの自動化ができるけど、問題の有無判定はしてくれない。
- XSS/CRLF
過去のリクエスト/レスポンスを指定した文字列で検索する。XSSとかはPrameter Fuzzerと組み合わせることで発見できそう
まあ、他にもあるんだけど、とりあえずこんなところでw
問題は日本語にUTF-8以外対応してないことかな。パラメータとかURLデコードして表示してくれるんだけど、化けまくるしw
一番使えるのはBeanShellかなと思う。
あ、そうそう、WebScarabはJakartaのHttpClientを使っているらしい。某ツールでも使っているのだけど、アレ内部でデータをデコードして持っているので今一好きになれないのよねぇorzおかげで、Clientを作り直しているしw