Tamper Chrome – 请求修改扩展,可用于Web安全测试

Tamper Chrome是一个Chrome扩展程序,允许您动态修改HTTP请求并帮助进行Web安全测试。Tamper Chrome适用于所有操作系统(包括Chrome OS)。小Burp Suite的存在

Tamper Chrome安装

它有两部分组成,也就是需要安装两个扩展?

  1. 先安装 Tamper Chrome Extension
  2. 再安装 Tamper Chrome Application
  3. 重启你的浏览器.

Tamper Chrome使用

打开Tamper Chrome

点击鼠标右键,选中“检查”,或者option+command+j快捷键调出开发者工具。

Tamper Chrome - 请求修改扩展,可用于Web安全测试

点击箭头,即可看到Tamper

Tamper Chrome - 请求修改扩展,可用于Web安全测试

打开temper.可以看到左边的六个选项,从上至下依次的功能为

Tamper Chrome - 请求修改扩展,可用于Web安全测试
  • 阻塞/重定向路由请求
  • 请求头
  • 响应头
  • post消息监控
  • 跨站脚本攻击(XSS)监控
  • 重新请求

依次点击这六个工具的选择框,即可选中相应的功能,点击完后Ctrl+R对页面进行刷新,即可弹出相应的工具,接下来,我们分别介绍每个工具的功能。

阻塞/重定向路由请求

该工具允许阻止或重定向浏览器的请求,比如更改jQuery的版本。更改一些参数等等。可以直接通过更改URL并单击允许来实现。

Tamper Chrome - 请求修改扩展,可用于Web安全测试

这里打开一个网站,通过分别点击Block和Allow可以分别阻拦和允许加载url内容。还可以单击编辑JavaScript和Css样式表,从而修改javascript和CSS代码本身。右下角底部可选择通过所有请求。

请求头

虽然Block / Reroute请求有助于篡改网站,并取消一些请求,但在许多情况下,还需要修改HTTP请求头。

Tamper Chrome - 请求修改扩展,可用于Web安全测试
  • 通过点击垃圾箱图标来删除标题,
  • 通过单击复制图标复制其值。
  • 通过点击[new]按钮添加新标题。
  • 最后点击ok可以看到页面重新加载的情况。

响应头

响应标头与请求头完全相同。 它允许您删除,修改或添加新标题。

Tamper Chrome - 请求修改扩展,可用于Web安全测试

对于删除或修改许多安全标题(如Content-Security-Policy,X-Frame-Options,X-XSS-Protection等)非常有用。

post消息监控

与其他工具不同,此工具主要用于监控使用HTML5 postMessage() API的网站。

postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。

它记录当前选项卡中所有iframe上收到的每条消息。

Tamper Chrome - 请求修改扩展,可用于Web安全测试

它在侦听postMessage的每个处理程序上设置一个断点。

Tamper Chrome - 请求修改扩展,可用于Web安全测试

跨站脚本攻击(XSS)监控

Tamper Chrome的另一个非常酷的功能是它允许更好地调试跨站脚本攻击(XSS)漏洞。

当测试XSS时,您可以使用作为HTML元素(当然,它也可以作为一个属性,以Javascript变量形式存在,你也可以使用和)。Tamper Chrome会自动检测它,并显示它的具体位置,堆栈可跟踪它的生成位置。 非常适用于DOM XSS。

Tamper Chrome - 请求修改扩展,可用于Web安全测试

重新请求

Tamper Chrome中的最后一个工具是重新请求。 这个工具非常有用,因为它允许修改POST请求的XHR Postdata(即post请求的具体内容,或将POST请求写入GET请求)。

Tamper Chrome - 请求修改扩展,可用于Web安全测试

值得注意的地方在于,修改请求后,会生成一个新的请求,这个新的请求可用于修改。

功能上确实比之前的请求修改扩展要强上很多,功能上有点像Burp Suite的缩小版,当然两者定位不一样,体量也不一样,对开发人员来说用足够,对安全测试/渗透测试来说肯定首选择Burp Suite