HTTP代理是作为信息拦截、收集和篡改等的基本手段。这个课程示例向我们展示了最基本的利用HTTP代理进行信息修改的操作。
工具
首先代理设置,课程中讲解的很清楚,这里不再赘述。
但是处于切换方便,我没有直接在浏览器中设置代理,而是使用了SwitchyOmega.在Chrome浏览器中安装该插件即可使用。
安装成功后,我添加了一个代理,这样Chrome浏览器使用的HTTP协议数据都会先通过127.0.0.1.注意我这里设置的代理端口是8080,是因为我的WebGoat在远程Linux机,而我的Chrome是在本地的Windows机上。如果你的浏览器和WebGoat在同一系统(Linux)中,你的端口需要自定义。
当你需要使用代理时,在扩展中开启即可。
代理分析工具使用较多的是BurpSuite和ZAP,我这里使用的是教程推荐的ZAP。
首先设置本地代理: 工具--选项--本地代理(Local Proxies) 选:localhost 8080
以下就可以开始监听了。在工具栏找到以下位置:
点击绿色的开始进行监听,当有消息到达时,会触发Break,有消息时,如下:
点击红色右边第一个按钮,进行逐个查看分析,点击第二个三角按钮就是“通过并提出监听”。为了避免的大量的网络请求对我们进行干扰,我们可以对某些不关注的请求进行排除。这一点在教程中有说明。
下面就可以开始按照要求来进行操作了。
1,打开浏览器代理;
2、开启ZAP监听(绿色按钮);
3、点击课程的 "Submit"提交;
4、在ZAP分析断点的请求数据(提前排除干扰请求);
5、修改请求数据:
POST 改为GET; 增加一个header项:x-request-intercepted:true;修改changMe的值为指定值。
注意:这里由于协议的变换,格式需要改变。Get协议的参数直接写在请求链接后面,将原来的changMe移至链接后用问号?衔接上。
修改完后,点击播放按钮,测试通过!
(--完--)