Webscarab

De SergiTurWiki

Aquesta wiki forma part dels materials d'un curs
Curs:	SeguretatXarxesInformàtiques
Fitxers:	No hi ha fitxers
Repositori SVN:	https://anonymous@svn.projectes.lafarga.cat/svn/iceupc/SeguretatXarxesInform%C3%A0tiques
Usuari:	anonymous
Paraula de pas:	sense paraula de pas
Autors:	Sergi Tur Badenas

És una eina multiplataforma que funciona amb Java proporcionada per OWASP

Contingut 1 Instal·lació 2 Execució 2.1 Webscarab Lite 2.2 Webscarab 3 Interceptant navegació web amb webscarab 4 Interceptar les comunicacions. Proxy plugin 4.1 Interceptar paraules de pas en formularis de login (mètodes POST o GET) 5 Vegeu també 6 Enllaços externs 6.1 Altres eines similars

Instal·lació

$ wget http://dawes.za.net/rogan/webscarab/webscarab-current.zip
$ unzip webscarab-current.zip

Execució

Webscarab Lite

És una versió reduïda en la que no es mostren els plugins:

$ java -jar ./webscarab-20090427-1304/webscarab.jar

Vegeu l'apartat següent per tal d'executar webscarab complet.

Webscarab

$ java -DWebScarab.lite=false -jar webscarab-20090427-1304/webscarab.jar

Interceptant navegació web amb webscarab

Primer cal tenir webscarab en execució. Cal configurar Firefox per tal d'utilitzar proxy. Les dades són:

• IP del proxy: localhost
• Port: 8008

Podeu comprovar que funciona correctament webscarab amb:

$ sudo nmap localhost -p 8008

Starting Nmap 4.62 ( http://nmap.org ) at 2009-05-30 19:27 CEST
Interesting ports on localhost (127.0.0.1):
PORT     STATE SERVICE
8008/tcp open  unknown

Interceptar les comunicacions. Proxy plugin

Interceptar paraules de pas en formularis de login (mètodes POST o GET)

Suposem que ja teniu webscarab en execució i configurat el navegador per tal d'utilitzar webscarab com a proxy i així poder itnerceptar les comunicacions.

A la pestanya Proxy, cal marcar la opció:

Intercept Requests

Ara cal que aneu a alguna web que tingui un formulari de login. Per exemple:

http://ca.wikipedia.org/w/index.php?title=Especial:Registre_i_entrada

Observeu les dades interceptades i podreu trobar la paraula de pas (tot i que s'introdueix amb ****):

També es aplicable a pàgines segures sempre i quan caigueu en l'atac Man in the Middle que realitza webscarab. Webscarab substitueix el certificat SSL de la pàgina a la que voleu entrar, per un de propi:

Proveu per exemple amb:

http://www.facebook.com/login.php

Vegeu també

• Webgoat
• Vulnerabilitats web
• Webscarab
• OWaSP
• ProxyStrike

Enllaços externs

• http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
• http://www.owasp.org/index.php/WebScarab_Getting_Started
• http://yehg.net/lab/pr0js/training/webscarab.php
• http://dawes.za.net/rogan/webscarab/docs/proxy.html
• http://travisaltman.com/webscarab-tutorial-part-1-learning-the-basics/

Altres eines similars

• http://code.google.com/p/proxystrike/
• http://portswigger.net/proxy/
• http://www.parosproxy.org/index.shtml
• http://www.fiddler2.com/fiddler2/