Installation et utilisation de WebScarab

WebScarab est un outils issu de l’OWASP, association d’inspiration libre qui travaille sur les problèmes de sécurités des applications web. WebScarab permet d’intercepter et modifier les requêtes ainsi que les réponses HTTP, ce qu’un pirate peut faire lors de ses attaques sur un site web. Il s’agit d’un logiciel libre écrit en java.

Son installation est simple, il faut télécharger l’archive dans mon cas c’était webscarab-installer-20060718-1904.jar. L’installation est simple : java -jar webscarab-installer-20060718-1904.jar.

Webscarab sert de proxy applicatif. Donc il faudra modifier le proxy utilisé par le navigateur est mettre le proxy « localhost port 8008 » dans la connexion du navigateur.

définir le proxy dans Firefox

Démarrez WebScarab, définissez le proxy utilisé (celui que le navigateur utilisait auparavant) pour cela allez dans le menu tools\proxies et complétez la boite de dialogue.

définir le proxy dans WebScarab

Enfin il faut cocher la case à cocher « intercept request » pour intercepter et éventuellement manipuler la requête.

intercepter les requêtes

Les manipulations peuvent être nombreuses comme modifier la valeur d’un champ, ajouter un champ, supprimer un champ, de quoi planter le traitement côté serveur.

Dernière remarque, il est possible de manipuler les requêtes web avec d’autres outils. Par exemple la barre d’outils Web Developer permet également de nombreuses manipulation. Cette barre est une extension pour Firefox pour tout ce qui développement web. La partie « form » permet d’afficher les détail du formulaire dont les champs cachés, de convertir les champs « select » en « input », de supprimer la longueur maximale des champs input…

La conclusion de ce genre d’outils est de ne pas oublier que les contrôles mise en place côté client web par du javascript ou par d’autres techniques comme les longueurs maximales des champs input (attribut maxlength) ou comme les champs select pour limiter les choix dans une liste peuvent être facilement contournées. Il faut donc refaire les contrôles côtés serveur. Ceci n’est en fait que la vulnérabilité 1 du guide de l’OWASP « unvalidated input » ou en français « Paramètres non validés ».

Publicités

Une Réponse to “Installation et utilisation de WebScarab”

  1. petitteckel Says:

    L’outil ne fonctionne pas avec IE 7 et un serveur en local

Commentaires fermés


%d blogueurs aiment cette page :