编译安装OWASP WebScarab

最新推荐文章于 2020-10-18 18:19:17 发布
最新推荐文章于 2020-10-18 18:19:17 发布
阅读量3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 工具 Web应用 安全威胁 文章标签: ant 脚本 numbers jdk jar tree
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/eatmilkboy/article/details/7386661
本文详细记录了解决WebScarab编译错误的过程,包括下载源代码、配置环境、解决依赖问题,并修正了一个影响HTTP请求解析的bug。通过本文,读者可以了解如何在遇到类似问题时自行解决。

Sorry, 现在发现文档下面所说的编译方法已经不适用新的WebScarab了,新的编译方法参考另一篇文章: http://blog.youkuaiyun.com/eatmilkboy/article/details/7793244


最近在使用WebScarab的时候发现有个bug,这个bug本身很容易修复,只是为此无法使用直接下载的WebScarab的binary,必须重新编译一下。特把编译过程纪录下来。

 

下载源代码:

直接通过IE下载最新的snapshot:

http://dawes.za.net/gitweb.cgi?p=webscarab.git;a=tree

 

编译需求:

看了下说明文档,编译需要使用ANT。所以又下载了JDK1.6以及ANT1.8,在把JDK以及ANT得环境设置好之后准备开工。

 

开始编译:

把下载的WebScarab得源代码解压缩之后进入其目录,直接执行

ant

结果失败,报错说找不到ProGuard。

ProGuard是个什么东东?把WebScarab的ANT脚本打开之后发现是因为有个新的task需要ProGuard的jar包

<taskdef 
classpath="${proguard.location}/lib/proguard.jar" 
resource="proguard/ant/task.properties"
/>


不管了,google一下之后在这里http://proguard.sourceforge.net/ 把目前最新的4.7下载了下来,解压缩之后发现里面有编译好的jar包。

 

再次编译:

仔细看了下WebScarab的编译脚本,定义proguad的task需要把proguard.jar放到${proguard.location}/lib/proguard.jar这个目录下面,proguard.location这个参数在编译脚本里面没有,需要在ANT命令里面指定。这样我就把把proguard.jar 复制到WebScarab解压目录的lib目录下面,再次执行

ant -Dproguard.location=.

OK,这次一切顺利,编译好的WebScarab在dist目录下面,直接执行

java -jar ./webscarab-selfcontained-[numbers].jar

就可以运行了。

 

修正的问题:

在src\org\owasp\webscarab\plugin\fuzz\Parameter.java, 第125行代码如下:

if (contentType.equals("application/x-www-form-urlencoded"))

这边是判断如果一个HTTP请求的HTTP content-type头是form请求,那么会试图解析HTTP body里面的参数,但是根据RFC2616 (http://www.ietf.org/rfc/rfc2616.txt):

Content-Type   = "Content-Type" ":" media-type

media-type     = type "/" subtype *( ";" parameter )

在后面还可以跟其他参数的,典型的例子是编码(如下图),按照代码里面的完全匹配的方式,这样会导致HTTP Body里面的参数无法被解释出来。

修正采用了一个很简单的办法,使用不完全匹配:

if (contentType.indexOf("application/x-www-form-urlencoded") >= 0)

虽然可能会有其他问题,但是至少我自己使用没有问题了微笑

10、保障移动设备安全:MITHYS系统与浏览器安全控制解析
gitlab7runner的博客
07-28 11
本文探讨了MITHYS系统及其在保障移动设备安全中的作用,详细解析了MITHYSApp与WebServer的实现机制,以及如何通过安全渗透测试器和安全执行器检测并防御SSL漏洞和中间人攻击。同时,文章还分析了浏览器安全控制的现状、挑战与管理方法,并通过对比不同浏览器的安全功能和工作流程,展示了如何优化安全设置以提升用户体验。最后,文章展望了未来移动设备和浏览器安全的发展方向。
OWASPWebScarab简介
大静子的博客
06-14 5155
WebScarab是由开放式Web应用安全项目(OWASP)组开发。OWASP是免费的,它为建立安全的Web应用提供了指导和建议。   WebScarab是一个用来分析使用HTTP和HTTPS协议的应用程序框架。WebScarab可以记录它检测到的会话内容(请求和应答),并允许使用者可以通过多种形式来查看记录。可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。 1
WebScarab安装
weixin_30632089的博客
06-08 346
1.下载webscarab 下载地址:http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/ 2.安装webscarab 安装命令: java -jar webscarab-installer-20070504-1631.jar 3.firefox代理设置 进入选项 > 高级 &g...
WebScarabOWASP
03-30
linux上类似Fiddle的工具,比Fiddle还强大,安装ant,执行后会生成一个jar文件,用java运行它就可以。运行后,在Porxy里面start一下,默认在127.0.0.1:8008监听,然后把浏览器的代理设成127.0.0.1:8008就可以抓包了。还有很多功能哦。。
webscarab安装
07-14
标准的安装包,有时候这个会比较难找 工具本身就不用说了,绝对是最牛的截获工具,而且是免费的 当然,如果你安了不能用的话……那肯定没装jdk^_^
OWASP-WebScarab-master.zip
08-12
WebScarabOWASP项目中的一个工具,主要用于Web应用的安全测试和分析。它是一个代理服务器,可以帮助安全研究人员在HTTP/HTTPS通信中捕获、查看和修改数据,从而发现潜在的安全漏洞。 WebScarab的工作原理基于代理...
WebScarab工具
03-29
2. t5-webscarab-instructions.pdf:这是WebScarab的使用指南或操作手册,很可能包含了如何安装、配置和使用WebScarab的详细步骤,对于初学者来说非常有用。 3. WebScarab-ng-0.2.1.one-jar.zip:这是WebScarab-NG的...
web安全网站测试安装
12-10
在本文中,我们将深入探讨Webscarab安装步骤、使用配置以及其在Web安全测试中的作用。 首先,为了运行Webscarab,你需要确保你的系统已经安装了Java Development Kit (JDK)。JDK是Java编程语言的基础,提供了编译...
分享国外安全团队及工具
热门推荐
专注企业信息安全-sec
03-19 1万+
名称 版 描述 主页 0trace 1.5 跳跃枚举工具 http://jon.oberheide.org/0trace/ 3proxy 0.7.1.1 微小的免费代理服务器。 http://3proxy.ru/ 3proxy-win32的 0.7.1....
webscarab安装及基本操作指南
11-08
The interactive HTTP proxy WebScarab – Installation and basic use Author: Dr. Holger Peine, Fraunhofer IESE Holger.Peine@iese.fraunhofer.de
Webscarab工具使用介绍
07-29
Webscarab工具使用介绍---简单的介绍。
WebScarab.rar
11-25
WebScarab 工具源码,开源组织开源工程,有兴趣的可以下载,不过看此工程最好下载下来说明文档,否则不容易理解,本人组织了5人团队,两周才把功能梳理清楚
WebScarab入门教程(图解)
03-01
WebScarab入门教程(图解),拦截和修改浏览器和HTTP/S服务器的请求和响应,进行修改攻击
代理工具WebScarab安装
syq1207的博客
06-09 3491
1、下载WebScarab:http://sourceforge.net/projects/owasp/files/WebScarab/20070504-1631/,其中webscarab-installer-20070504-1631.jar安装包. 2、双击打开安装,不可以放在桌面以及中文的安装文件夹内,一步步安装完成即可,打开运行。 3关于代理工具有: ◆WebScarab-http
【安全测试】 WebScarab安装方法
weixin_30414305的博客
12-04 532
Webscarab同样需要java环境,下载j2_webscarab-installer.jar包。 1、进入cmd,执行java -jarj2_webscarab-installer.jar命令(我是将jar包放到了C盘根目录下运行的) *这一步同样可以通过双击jar包来完成 2、安装直至在出现的画面里,点击“next”,无法继续进行。 进入webscarab安装目录(C:\Progr...
WebScarab安装使用资料汇总
:)每天进步一点点
08-27 1193
下载地址: http://www.wishdown.com/soft/53756.html 安装步骤: http://www.cnblogs.com/smstars/archive/2013/06/08/3127709.html(菜鸟)http://blog.youkuaiyun.com/eatmilkboy/article/details/7386661(高级)
安装WebScarab方法【安全测试】
weixin_45899210的博客
10-18 2210
安装WebScarab是需要java环境的,所以在此之前需要安装并配置java,如果有疑惑的可以参考windows10安装配置java 在java环境下,需要下载webscarab-install.jar webscarab-install.jar下载地址 一、安装 安装有两种方法 一、使用cmd命令安装 win+R进入cmd命令提示符,输入java -jar webscarab-installer-20070504-1631.jar 二、双击安装文件安装 双击打开文件后: 一直跟着next提示走即可安装
linux安装owasp zap
最新发布
03-16
<think>好的,用户问的是如何在Linux上安装OWASP ZAP。首先,我得回忆一下OWASP ZAP的常见安装方式。通常,ZAP可以通过几种方式安装:使用包管理器、下载二进制包、或者用Docker。用户是Linux环境,所以需要针对不同的发行版给出合适的步骤。 首先,可能需要检查用户是否有Java环境,因为ZAP是基于Java的。不过,新版本的ZAP可能自带JRE,所以可能不需要额外安装Java。不过,为了稳妥,可能还是需要提一下Java的安装步骤,或者确认系统是否已经安装了Java。 然后,考虑不同的安装方法。比如,使用Snap包管理器安装,这在Ubuntu上比较方便。另外,直接下载最新的Linux安装包,解压后运行,这可能适用于所有Linux发行版。还有使用Docker的方式,适合喜欢容器化部署的用户。 接下来,我需要参考提供的引用内容。引用[1]提到配置ZAP的主机IP和端口,这可能和安装后的配置有关,但用户的问题是关于安装的,所以暂时可能不需要直接引用这部分。其他引用是关于Ansible和安全测试的,可能暂时用不上。不过需要确保回答中提到的步骤正确,比如下载后的安装步骤是否涉及配置,但用户主要问的是安装,所以重点在安装过程。 另外,用户可能需要启动ZAP的方法,比如命令行如何启动,是否需要图形界面支持。Linux服务器可能没有图形界面,所以可能需要提一下无头模式或者使用X11转发。 然后,生成相关问题,可能需要考虑用户后续可能遇到的问题,比如如何更新ZAP,如何配置代理,或者如何在无图形界面下使用ZAP进行扫描。 还需要注意LaTeX格式的问题,虽然用户的问题不涉及数学公式,但回答中如果有需要强调的命令行参数,可能需要用行内代码块而不是LaTeX。不过根据系统级指令,行内数学表达式需要用$...$,但技术命令应该用代码块,所以可能需要调整格式,确保代码部分用反引号包裹。 最后,确保回答结构清晰,分步骤说明每种安装方法,并验证每种方法的正确性。比如,Snap安装可能只需要一条命令,而手动下载则需要解压和运行脚本。Docker方式则需要用户已经安装Docker环境。 总结步骤: 1. 使用Snap安装(适合Ubuntu) 2. 下载并解压安装包 3. Docker方式 4. 验证安装是否成功 5. 启动ZAP的方法 6. 注意事项,如Java环境、图形界面等 可能还需要提醒用户根据发行版选择合适的安装方式,例如基于Debian的系统用Snap,其他可能用二进制包或Docker。 现在整理这些步骤,用中文回答,并确保符合格式要求,如代码块用反引号,独立公式不需要,但如果有变量可能需要用LaTeX,不过这里应该不需要。最后生成相关问题,比如如何更新、配置代理、命令行使用等。</think>### 如何在Linux上安装OWASP ZAP? 以下是几种常见的安装方法,适用于不同的Linux发行版: --- #### **方法1:通过Snap安装(推荐适用于Ubuntu/Debian)** 1. 安装Snap(若未预装): ```bash sudo apt update sudo apt install snapd ``` 2. 安装OWASP ZAP: ```bash sudo snap install zaproxy --classic ``` --- #### **方法2:手动下载并安装** 1. 从[OWASP ZAP官网](https://www.zaproxy.org/download/)下载最新Linux版本(如`.tar.gz`文件): ```bash wget https://github.com/zaproxy/zaproxy/releases/download/v2.14.0/ZAP_2.14.0_Linux.tar.gz ``` 2. 解压文件: ```bash tar -xvf ZAP_2.14.0_Linux.tar.gz ``` 3. 进入解压目录并运行: ```bash cd ZAP_2.14.0 ./zap.sh ``` --- #### **方法3:通过Docker安装** 1. 拉取官方镜像: ```bash docker pull owasp/zap2docker-stable ``` 2. 运行容器(以无界面模式启动): ```bash docker run -u zap -p 8080:8080 -i owasp/zap2docker-stable zap.sh -daemon -host 0.0.0.0 -port 8080 ``` 配置完成后,可通过浏览器访问`http://<服务器IP>:8080`[^1]。 --- #### **验证安装** 运行以下命令检查版本: ```bash zap.sh -version ``` 若显示版本号(如`2.14.0`),则安装成功。 --- #### **注意事项** - **图形界面支持**:ZAP默认需要图形环境。若服务器无界面,可使用`-cmd`参数以命令行模式运行。 - **依赖项**:确保系统已安装Java 11+(ZAP 2.12+自带JRE,无需额外配置)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值