IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Alert.png Aquesta wiki forma part dels materials d'un curs
Curs: SeguretatXarxesInformàtiques
Fitxers: No hi ha fitxers
Repositori SVN: https://anonymous@svn.projectes.lafarga.cat/svn/iceupc/SeguretatXarxesInform%C3%A0tiques
Usuari: anonymous
Paraula de pas: sense paraula de pas
Autors: Sergi Tur Badenas
Logo de wescarab

És una eina multiplataforma que funciona amb Java proporcionada per OWASP

Instal·lació

Obteniu un jar a la pàgina de sourceforge:

$ wget http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/webscarab-installer-20070504-1631.jar/download -O webscarab.jar
$ java -jar ./webscarab.jar

Obtenir el codi font

Es troba a github

$ wget http://dawes.za.net/rogan/webscarab/webscarab-current.zip
$ wget https://github.com/OWASP/OWASP-WebScarab/archive/master.zip
$ unzip master.zip
$ cd OWASP-WebScarab-master

també el podeu obtenir amb [git clone]]

Recursos:

Execució

Webscarab Lite

És una versió reduïda en la que no es mostren els plugins:

$ java -jar ./webscarab-20090427-1304/webscarab.jar

Vegeu l'apartat següent per tal d'executar webscarab complet.

Webscarab

$ java -DWebScarab.lite=false -jar webscarab-20090427-1304/webscarab.jar

Interceptant navegació web amb webscarab

Primer cal tenir webscarab en execució. Cal configurar Firefox per tal d'utilitzar proxy. Les dades són:

  • IP del proxy: localhost
  • Port: 8008

Podeu comprovar que funciona correctament webscarab amb:

$ sudo nmap localhost -p 8008

Starting Nmap 4.62 ( http://nmap.org ) at 2009-05-30 19:27 CEST
Interesting ports on localhost (127.0.0.1):
PORT     STATE SERVICE
8008/tcp open  unknown

Interceptar les comunicacions. Proxy plugin

Interceptar paraules de pas en formularis de login (mètodes POST o GET)

Suposem que ja teniu webscarab en execució i configurat el navegador per tal d'utilitzar webscarab com a proxy i així poder itnerceptar les comunicacions.

A la pestanya Proxy, cal marcar la opció:

Intercept Requests

Ara cal que aneu a alguna web que tingui un formulari de login. Per exemple:

http://ca.wikipedia.org/w/index.php?title=Especial:Registre_i_entrada

Observeu les dades interceptades i podreu trobar la paraula de pas (tot i que s'introdueix amb ****):

WebScarabExempleViquipedia.png

També es aplicable a pàgines segures sempre i quan caigueu en l'atac Man in the Middle que realitza webscarab. Webscarab substitueix el certificat SSL de la pàgina a la que voleu entrar, per un de propi:

WebScarabCertificate.png

Proveu per exemple amb:

http://www.facebook.com/login.php

WebScarabExempleFacebook.png

Vegeu també

Enllaços externs

Altres eines similars