WEB 服務(wù)器調(diào)試?yán)?Tamper Data

發(fā)布時(shí)間：2008-12-27 17:03:14 作者：佚名

一. 簡(jiǎn)介作為 Firefox 的插件， Tamper Data 簡(jiǎn)單易用，功能強(qiáng)大，可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數(shù)；可以用來跟蹤 HTTP 請(qǐng)求和響應(yīng)并記時(shí)；可以對(duì) WEB 站點(diǎn)進(jìn)行某些安全測(cè)試，從而為調(diào)試 WEB 配置帶來了極大的便利

一. 簡(jiǎn)介

作為 Firefox 的插件， Tamper Data 簡(jiǎn)單易用，功能強(qiáng)大，可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數(shù)；可以用來跟蹤 HTTP 請(qǐng)求和響應(yīng)并記時(shí)；可以對(duì) WEB 站點(diǎn)進(jìn)行某些安全測(cè)試，從而為調(diào)試 WEB 配置帶來了極大的便利，是網(wǎng)站維護(hù)人員不可多得的實(shí)用工具。

二. 安裝

Tamper Data 的安裝很簡(jiǎn)單，如下所示：

第一步：打開 Firefox，進(jìn)入 google.cn，搜索 “tamper data”，并點(diǎn)擊搜到的 "Tamper Data :: Firefox Add-ons-"項(xiàng)。如下圖所示：

第二步：進(jìn)入 Tamper Data 安裝頁面后，找到下面的位置并點(diǎn)擊，開始安裝：

第三步：安裝完后后，可以在 Firefox 菜單欄的“工具”菜單項(xiàng)里面找到 Tamper Data，如下圖所示：

三. 使用

Tamper Data 的使用也比較簡(jiǎn)單，下面介紹了其主要的用法：

點(diǎn)擊 Firefox 菜單欄上“工具”菜單項(xiàng)里面的“Tamper Data”，就會(huì)彈出 Tamper Data 的主窗口，如下圖所示：

可以看出，其主窗口主要分成三部分，分別如圖中的 1，2，3 所示。當(dāng)我們打開 Tamper Data 后，我們?yōu)g覽網(wǎng)頁時(shí)發(fā)出的每一個(gè) HTTP 請(qǐng)求及其對(duì)應(yīng)的響應(yīng)都會(huì)被 Tamper Data 記錄下來。第 1 部分顯示每一個(gè) HTTP 請(qǐng)求及其對(duì)應(yīng)的 HTTP 響應(yīng)的概要信息，其中包括了大量有用的信息，比如頁面元素大小，HTTP 請(qǐng)求的方法，HTTP 響應(yīng)的狀態(tài)值，等等。最值得注意的是“Duration”和“Total Duration”這兩個(gè)字段的值，他們顯示出了打開每一個(gè)頁面元素所花費(fèi)的時(shí)間和打開該頁面花費(fèi)的總時(shí)間。根據(jù)這些時(shí)間值，就可以判斷出打開我們頁面的速度如何，是哪些頁面元素影響了整個(gè)頁面打開的速度，從而為我們進(jìn)一步優(yōu)化頁面提供寶貴的信息。當(dāng)我們?cè)诘?1 部分選中某條概要信息后，第 2 部分會(huì)顯示出對(duì)應(yīng)的 HTTP 請(qǐng)求的頭部信息，第 3 部分會(huì)顯示出對(duì)應(yīng)的 HTTP 響應(yīng)的頭部信息。

如果我們比較喜歡查看圖型化的統(tǒng)計(jì)信息，那么可以在 Tamper Data 主窗口的第 1 部分單擊右鍵，在彈出的菜單上點(diǎn)擊“Graph All”，如下圖所示，那么這些每個(gè)頁面元素及其打開它們所花費(fèi)的時(shí)間，就會(huì)以圖形的方式，直觀地顯示出來。具體的圖形，就不提供了。

接下來，我們看看幾個(gè)實(shí)際的例子。

第一個(gè)例子：我們把 APACHE 配置為，當(dāng)用戶第一次瀏覽我們的網(wǎng)站時(shí)，向用戶的瀏覽器寫入一個(gè) Cookie，以方便對(duì)他們的訪問行為的跟蹤，然后，我們需要驗(yàn)證配置是否正確。于是，我們開啟 Tamper Data，然后再訪問我們網(wǎng)站的某個(gè)頁面，接著分析 Tamper Data 所記錄的數(shù)據(jù)?？梢詮牡?3 個(gè)窗口看到，我們的 APACHE 服務(wù)器確實(shí)向我們的瀏覽器寫入了預(yù)先配置的 Cookie，如下圖所示：

接下來，我們?nèi)ンw會(huì) Tamper Data 的真實(shí)含義，即“ 篡改數(shù)據(jù)”（或者說定制 HTTP 請(qǐng)求）：截取瀏覽器發(fā)出的每一個(gè) HTTP 請(qǐng)求，提示我們選擇是要進(jìn)行定制，還是不做定制而直接提交請(qǐng)求，還是終止當(dāng)前被截取的請(qǐng)求，然后根據(jù)我們的選擇決定是打開定制窗口，還是直接向 WEB 服務(wù)器提交請(qǐng)求，還是終止當(dāng)前的請(qǐng)求。

默認(rèn)情況下，Tamper Data 不會(huì)截取對(duì)圖片的請(qǐng)求，所以，如果我們需要對(duì)獲取圖片的請(qǐng)求進(jìn)行定制，那么需要一點(diǎn)點(diǎn)修改，點(diǎn)擊 Tamper Data 主窗口上的“Option”，會(huì)出現(xiàn)下面的窗口，勾選“Tamper with Images etc.”就可以了。

順便提一下，從下面窗口的內(nèi)容可以看出，Tamper Data 還提供了一些進(jìn)行 XSS(跨站腳本)攻擊和 SQL 注入攻擊的代碼，而且允許我們加入自己的攻擊代碼，極大地方便了我們對(duì) WEB 站點(diǎn)進(jìn)行安全測(cè)試。

是該進(jìn)行“Tamper”的時(shí)候了。

點(diǎn)擊 Tamper Data 主窗口上的“Start Tamper”，開啟對(duì) HTTP 請(qǐng)求的截取。

一旦開啟了對(duì) HTTP 請(qǐng)求的截取，對(duì)于瀏覽器發(fā)出的每一個(gè)請(qǐng)求，Tamper Data 都會(huì)截取，然后顯示出下面的窗口，要求我們作出選擇：

在此我們選擇“Tamper”，準(zhǔn)備對(duì) HTTP 請(qǐng)求進(jìn)行定制，對(duì)我們的 WEB 服務(wù)器配置進(jìn)行測(cè)試和調(diào)試。

點(diǎn)擊率“Tamper”之后，會(huì)出現(xiàn)下面的窗口。可以看到，窗口的頂部，顯示當(dāng)前被截獲的 HTTP 請(qǐng)求，左邊窗口顯示的是瀏覽器發(fā)出的 HTTP 請(qǐng)求的頭部各字段，右邊窗口顯示的是瀏覽器發(fā)出的 HTTP 請(qǐng)求的 POST 參數(shù)。在這兩個(gè)窗口里面，我們可以修改瀏覽器提交的 HTTP 請(qǐng)求頭部字段/POST 參數(shù)，刪除某些瀏覽器提交的 HTTP 請(qǐng)求頭部字段/POST 參數(shù)，或者添加其他合法的 HTTP 請(qǐng)求頭部字段/POST 參數(shù)。很強(qiáng)大吧？

現(xiàn)在，我們想測(cè)試自己配置的圖片防盜鏈?zhǔn)欠裾Ｆ鹱饔?。于是我們添加一個(gè) Referer 頭部字段，并輸入 www.cisco.com ，如下圖所示，點(diǎn)擊“OK”提交后，發(fā)現(xiàn)我們的請(qǐng)求被重定向到 go_way.html 頁面，可見我們的配置是正確的。

下面是測(cè)試我們配置的防惡意瀏覽器訪問。在下面的窗口，修改瀏覽器提交的 User-Agent 字段，將其設(shè)置為我們禁止的惡意訪問瀏覽器之一，比如 sogou spider，點(diǎn)擊“OK”提交后，發(fā)現(xiàn)我們的請(qǐng)求被禁止了，可見我們的配置是正確的。

這樣的例子，還可以寫很多，在此就不再講述了。有興趣的讀者可以去深入研究 Tamper Data。

四. 總結(jié)

Tamper Data 是我見過的最好用的 WEB 調(diào)試工具之一，既可以統(tǒng)計(jì)每個(gè)頁面及其元素的打開速度，又可以定制 HTTP 請(qǐng)求，對(duì)我們的網(wǎng)站進(jìn)行安全測(cè)試。作為網(wǎng)站維護(hù)人員，實(shí)在是有必要掌握它，為自己的兵器庫增加一種厲害的兵器。

附：本文提到的 APACHE 配置，可以參考我的另外一篇文章《我這樣裝 APACHE 》