Security WebScarab工具可以在任何地方拦截任何HTTP请求吗？

最近，我一直在深入研究web应用程序安全性。在浏览时，我从OWASP中找到了WebScarab工具，它可以将可能的攻击注入到您的web应用程序中，并使您的应用程序易受攻击

我正在使用该工具拦截通过基于JSF1.2框架的web应用程序的任何请求。在使用时，我观察到表单字段中输入的任何值都显示为该工具中的HttpRequest。您可以修改这些值，它将自动创建一个新的请求头，修改后的值将插入数据库

这不是潜在的攻击吗？我的意思是，任何人都可以拦截任何HttpRequest，并借助工具修改参数，注入一些恶意内容

我的问题是：

是否每个人都可以从任何网页拦截生成的HttpRequest，比如stackoverflow.com

如果是，您如何避免未知用户进行这些修改，该用户可以修改参数并重新生成编码的URL

如果没有，请解释原因？我完全麻木了

是一个代理：

WebScarab作为拦截代理运行，允许操作员在将请求发送到服务器之前查看和修改浏览器创建的请求，并在浏览器接收到这些请求之前查看和修改服务器返回的响应

但这要求客户端（例如，您的web浏览器）实际：

为了开始使用WebScarab作为代理，您需要将浏览器配置为使用WebScarab作为代理。这是使用工具菜单在IE中配置的。选择工具->Internet选项->连接->LAN设置以获取代理配置对话框

---

因此，只有使用WebScarab代理的客户端的通信才能被拦截。

使用WebScarab或其他UI拦截工具，用户可以在处理从客户端到服务器的请求之间更改事务数据

基本上，这可以通过在应用程序的客户端和服务器端应用相同的验证来避免。 例如，如果应用程序具有更改pwd功能，并且有人尝试侦听器并使用新的侦听pwd修改pwd，则保存时应在服务器端验证，无论用户输入的密码是否正确