WEB 服務(wù)器調(diào)試?yán)?Tamper Data

發(fā)布時間：2008-12-27 17:03:14 作者：佚名

一. 簡介作為 Firefox 的插件， Tamper Data 簡單易用，功能強(qiáng)大，可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數(shù)；可以用來跟蹤 HTTP 請求和響應(yīng)并記時；可以對 WEB 站點(diǎn)進(jìn)行某些安全測試，從而為調(diào)試 WEB 配置帶來了極大的便利

一. 簡介

作為 Firefox 的插件， Tamper Data 簡單易用，功能強(qiáng)大，可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數(shù)；可以用來跟蹤 HTTP 請求和響應(yīng)并記時；可以對 WEB 站點(diǎn)進(jìn)行某些安全測試，從而為調(diào)試 WEB 配置帶來了極大的便利，是網(wǎng)站維護(hù)人員不可多得的實(shí)用工具。

二. 安裝

Tamper Data 的安裝很簡單，如下所示：

第一步：打開 Firefox，進(jìn)入 google.cn，搜索 “tamper data”，并點(diǎn)擊搜到的 "Tamper Data :: Firefox Add-ons-"項(xiàng)。如下圖所示：

第二步：進(jìn)入 Tamper Data 安裝頁面后，找到下面的位置并點(diǎn)擊，開始安裝：

第三步：安裝完后后，可以在 Firefox 菜單欄的“工具”菜單項(xiàng)里面找到 Tamper Data，如下圖所示：

三. 使用

Tamper Data 的使用也比較簡單，下面介紹了其主要的用法：

點(diǎn)擊 Firefox 菜單欄上“工具”菜單項(xiàng)里面的“Tamper Data”，就會彈出 Tamper Data 的主窗口，如下圖所示：

可以看出，其主窗口主要分成三部分，分別如圖中的 1，2，3 所示。當(dāng)我們打開 Tamper Data 后，我們?yōu)g覽網(wǎng)頁時發(fā)出的每一個 HTTP 請求及其對應(yīng)的響應(yīng)都會被 Tamper Data 記錄下來。第 1 部分顯示每一個 HTTP 請求及其對應(yīng)的 HTTP 響應(yīng)的概要信息，其中包括了大量有用的信息，比如頁面元素大小，HTTP 請求的方法，HTTP 響應(yīng)的狀態(tài)值，等等。最值得注意的是“Duration”和“Total Duration”這兩個字段的值，他們顯示出了打開每一個頁面元素所花費(fèi)的時間和打開該頁面花費(fèi)的總時間。根據(jù)這些時間值，就可以判斷出打開我們頁面的速度如何，是哪些頁面元素影響了整個頁面打開的速度，從而為我們進(jìn)一步優(yōu)化頁面提供寶貴的信息。當(dāng)我們在第 1 部分選中某條概要信息后，第 2 部分會顯示出對應(yīng)的 HTTP 請求的頭部信息，第 3 部分會顯示出對應(yīng)的 HTTP 響應(yīng)的頭部信息。

如果我們比較喜歡查看圖型化的統(tǒng)計(jì)信息，那么可以在 Tamper Data 主窗口的第 1 部分單擊右鍵，在彈出的菜單上點(diǎn)擊“Graph All”，如下圖所示，那么這些每個頁面元素及其打開它們所花費(fèi)的時間，就會以圖形的方式，直觀地顯示出來。具體的圖形，就不提供了。

接下來，我們看看幾個實(shí)際的例子。

第一個例子：我們把 APACHE 配置為，當(dāng)用戶第一次瀏覽我們的網(wǎng)站時，向用戶的瀏覽器寫入一個 Cookie，以方便對他們的訪問行為的跟蹤，然后，我們需要驗(yàn)證配置是否正確。于是，我們開啟 Tamper Data，然后再訪問我們網(wǎng)站的某個頁面，接著分析 Tamper Data 所記錄的數(shù)據(jù)?？梢詮牡?3 個窗口看到，我們的 APACHE 服務(wù)器確實(shí)向我們的瀏覽器寫入了預(yù)先配置的 Cookie，如下圖所示：

接下來，我們?nèi)ンw會 Tamper Data 的真實(shí)含義，即“ 篡改數(shù)據(jù)”（或者說定制 HTTP 請求）：截取瀏覽器發(fā)出的每一個 HTTP 請求，提示我們選擇是要進(jìn)行定制，還是不做定制而直接提交請求，還是終止當(dāng)前被截取的請求，然后根據(jù)我們的選擇決定是打開定制窗口，還是直接向 WEB 服務(wù)器提交請求，還是終止當(dāng)前的請求。

默認(rèn)情況下，Tamper Data 不會截取對圖片的請求，所以，如果我們需要對獲取圖片的請求進(jìn)行定制，那么需要一點(diǎn)點(diǎn)修改，點(diǎn)擊 Tamper Data 主窗口上的“Option”，會出現(xiàn)下面的窗口，勾選“Tamper with Images etc.”就可以了。

順便提一下，從下面窗口的內(nèi)容可以看出，Tamper Data 還提供了一些進(jìn)行 XSS(跨站腳本)攻擊和 SQL 注入攻擊的代碼，而且允許我們加入自己的攻擊代碼，極大地方便了我們對 WEB 站點(diǎn)進(jìn)行安全測試。

是該進(jìn)行“Tamper”的時候了。

點(diǎn)擊 Tamper Data 主窗口上的“Start Tamper”，開啟對 HTTP 請求的截取。

一旦開啟了對 HTTP 請求的截取，對于瀏覽器發(fā)出的每一個請求，Tamper Data 都會截取，然后顯示出下面的窗口，要求我們作出選擇：

在此我們選擇“Tamper”，準(zhǔn)備對 HTTP 請求進(jìn)行定制，對我們的 WEB 服務(wù)器配置進(jìn)行測試和調(diào)試。

點(diǎn)擊率“Tamper”之后，會出現(xiàn)下面的窗口?？梢钥吹?，窗口的頂部，顯示當(dāng)前被截獲的 HTTP 請求，左邊窗口顯示的是瀏覽器發(fā)出的 HTTP 請求的頭部各字段，右邊窗口顯示的是瀏覽器發(fā)出的 HTTP 請求的 POST 參數(shù)。在這兩個窗口里面，我們可以修改瀏覽器提交的 HTTP 請求頭部字段/POST 參數(shù)，刪除某些瀏覽器提交的 HTTP 請求頭部字段/POST 參數(shù)，或者添加其他合法的 HTTP 請求頭部字段/POST 參數(shù)。很強(qiáng)大吧？

現(xiàn)在，我們想測試自己配置的圖片防盜鏈?zhǔn)欠裾Ｆ鹱饔?。于是我們添加一個 Referer 頭部字段，并輸入 www.cisco.com ，如下圖所示，點(diǎn)擊“OK”提交后，發(fā)現(xiàn)我們的請求被重定向到 go_way.html 頁面，可見我們的配置是正確的。

下面是測試我們配置的防惡意瀏覽器訪問。在下面的窗口，修改瀏覽器提交的 User-Agent 字段，將其設(shè)置為我們禁止的惡意訪問瀏覽器之一，比如 sogou spider，點(diǎn)擊“OK”提交后，發(fā)現(xiàn)我們的請求被禁止了，可見我們的配置是正確的。

這樣的例子，還可以寫很多，在此就不再講述了。有興趣的讀者可以去深入研究 Tamper Data。

四. 總結(jié)

Tamper Data 是我見過的最好用的 WEB 調(diào)試工具之一，既可以統(tǒng)計(jì)每個頁面及其元素的打開速度，又可以定制 HTTP 請求，對我們的網(wǎng)站進(jìn)行安全測試。作為網(wǎng)站維護(hù)人員，實(shí)在是有必要掌握它，為自己的兵器庫增加一種厲害的兵器。

附：本文提到的 APACHE 配置，可以參考我的另外一篇文章《我這樣裝 APACHE 》