Security WebScarab工具可以在任何地方拦截任何HTTP请求吗?
最近,我一直在深入研究web应用程序安全性。在浏览时,我从OWASP中找到了WebScarab工具,它可以将可能的攻击注入到您的web应用程序中,并使您的应用程序易受攻击 我正在使用该工具拦截通过基于JSF1.2框架的web应用程序的任何请求。在使用时,我观察到表单字段中输入的任何值都显示为该工具中的HttpRequest。您可以修改这些值,它将自动创建一个新的请求头,修改后的值将插入数据库 这不是潜在的攻击吗?我的意思是,任何人都可以拦截任何HttpRequest,并借助工具修改参数,注入一些恶意内容 我的问题是:Security WebScarab工具可以在任何地方拦截任何HTTP请求吗?,security,web-applications,Security,Web Applications,最近,我一直在深入研究web应用程序安全性。在浏览时,我从OWASP中找到了WebScarab工具,它可以将可能的攻击注入到您的web应用程序中,并使您的应用程序易受攻击 我正在使用该工具拦截通过基于JSF1.2框架的web应用程序的任何请求。在使用时,我观察到表单字段中输入的任何值都显示为该工具中的HttpRequest。您可以修改这些值,它将自动创建一个新的请求头,修改后的值将插入数据库 这不是潜在的攻击吗?我的意思是,任何人都可以拦截任何HttpRequest,并借助工具修改参数,注入一些
因此,只有使用WebScarab代理的客户端的通信才能被拦截。使用WebScarab或其他UI拦截工具,用户可以在处理从客户端到服务器的请求之间更改事务数据 基本上,这可以通过在应用程序的客户端和服务器端应用相同的验证来避免。 例如,如果应用程序具有更改pwd功能,并且有人尝试侦听器并使用新的侦听pwd修改pwd,则保存时应在服务器端验证,无论用户输入的密码是否正确