Webscarab

Aquesta wiki forma part dels materials d'un curs
Curs:	SeguretatXarxesInformàtiques
Fitxers:	No hi ha fitxers
Repositori SVN:	https://[email protected]/svn/iceupc/SeguretatXarxesInform%C3%A0tiques
Usuari:	anonymous
Paraula de pas:	sense paraula de pas
Autors:	Sergi Tur Badenas

Logo de wescarab

És una eina multiplataforma que funciona amb Java proporcionada per OWASP

Instal·lació

Obteniu un jar a la pàgina de sourceforge:

$ wget http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/webscarab-installer-20070504-1631.jar/download -O webscarab.jar
$ java -jar ./webscarab.jar

Obtenir el codi font

Es troba a github

$ wget http://dawes.za.net/rogan/webscarab/webscarab-current.zip
$ wget https://github.com/OWASP/OWASP-WebScarab/archive/master.zip
$ unzip master.zip
$ cd OWASP-WebScarab-master

també el podeu obtenir amb [git clone]]

Recursos:

• http://www.acsac.org/2007/downloads/t5-webscarab-instructions.pdf

Execució

Webscarab Lite

És una versió reduïda en la que no es mostren els plugins:

$ java -jar ./webscarab-20090427-1304/webscarab.jar

Vegeu l'apartat següent per tal d'executar webscarab complet.

Webscarab

$ java -DWebScarab.lite=false -jar webscarab-20090427-1304/webscarab.jar

Interceptant navegació web amb webscarab

Primer cal tenir webscarab en execució. Cal configurar Firefox per tal d'utilitzar proxy. Les dades són:

• IP del proxy: localhost
• Port: 8008

Podeu comprovar que funciona correctament webscarab amb:

$ sudo nmap localhost -p 8008

Starting Nmap 4.62 ( http://nmap.org ) at 2009-05-30 19:27 CEST
Interesting ports on localhost (127.0.0.1):
PORT     STATE SERVICE
8008/tcp open  unknown

Interceptar les comunicacions. Proxy plugin

Interceptar paraules de pas en formularis de login (mètodes POST o GET)

Suposem que ja teniu webscarab en execució i configurat el navegador per tal d'utilitzar webscarab com a proxy i així poder itnerceptar les comunicacions.

A la pestanya Proxy, cal marcar la opció:

Intercept Requests

Ara cal que aneu a alguna web que tingui un formulari de login. Per exemple:

http://ca.wikipedia.org/w/index.php?title=Especial:Registre_i_entrada

Observeu les dades interceptades i podreu trobar la paraula de pas (tot i que s'introdueix amb ****):

També es aplicable a pàgines segures sempre i quan caigueu en l'atac Man in the Middle que realitza webscarab. Webscarab substitueix el certificat SSL de la pàgina a la que voleu entrar, per un de propi:

Proveu per exemple amb:

http://www.facebook.com/login.php

Vegeu també

• Webgoat
• Vulnerabilitats web
• Webscarab
• OWaSP
• Paros, Bur
• ProxyStrike
• Fiddler http://fiddler2.com/
• https://addons.mozilla.org/en-US/firefox/addon/tamper-data

Enllaços externs

• http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
• http://www.owasp.org/index.php/WebScarab_Getting_Started
• http://yehg.net/lab/pr0js/training/webscarab.php
• http://dawes.za.net/rogan/webscarab/docs/proxy.html
• http://travisaltman.com/webscarab-tutorial-part-1-learning-the-basics/

Altres eines similars

• http://code.google.com/p/proxystrike/
• http://portswigger.net/proxy/
• http://www.parosproxy.org/index.shtml
• http://www.fiddler2.com/fiddler2/