Просмотр, генерация, изменение HTTP-запросов

Автор: anon
18.04.2010 17:18

Иногда при работе с веб-страницами пользователю требуется несколько больше возможностей, чем обычно предоставляют браузеры. В таком случае можно использовать либо подручные средства, либо расширения браузера.

 

 

Просмотр типичного HTTP-запроса браузера

Например, необходимо просмотреть типичный HTTP-запрос своего браузера. Это может понадобиться в том случае если вы параноик и проверяете, не отсылает ли браузер что-либо деанонимизирующее, или просто для отладки каких-то там скриптов. Для этого удобно попробовать утилиту netcat.

nc -l -v -p 8888

И зайти браузером по адресу http://127.0.0.1:8888/

Получится нечто вроде такого:

 

http запрос

 

Для таких целей вообще-то подойдет любой сниффер, или расширение firefox типа Tamper Data

 

Отправка нестандартного HTTP-запроса

Также у пользователя Сети рано или поздно может возникнуть потребность в отправке серверу нестандартного HTTP-запроса (например чтобы избежать URL-кодирования). В некоторых случаях для этого можно задействовать все тот же netcat. Создается файл с HTTP-запросом (его пример можно найти в предыдущем пункте), в конце файла должно быть два переноса строки. Если назвать файл request.txt, то отправка запроса будет так:

cat request.txt | nc server.com 80

В windows утилиты cat и netcat как бы не всегда есть, но это лечится.

Этот способ еще приятен тем, что его легко автоматизировать.

Но это не всегда удобно, в сложных случаях следует брать другие инструменты, например HttpREQ.

 

Модификация полей HTTP-запроса

Когда надо всего лишь модифицировать или добавить поле в запрос, можно попробовать расширение Firefox под очевидным названием Modify Headers. Мануал к нему не нужен, там все просто. Сферы применения самые разные, опишу некоторые из них, наиболее типичные:

 

  • Подмена типа браузера. Если зачем-то нужно заставить сайт подумать что у вас не firefox, а Internet Explorer, то сделать это можно с помощью Modify Headers.
  • Анонимность. Можно например дописывать к запросу своего браузера поле X-FORWARDER-FOR c произвольным IP-адресом, это заставить думать некоторые сайты, будто бы вы пришли через прокси. При правильном использовании (если вы вместе с этим используете другой прокси, который не добавляет такого поля) это придаст дополнительной анонимности, которой, как известно, много не бывает.
  • Эксплуатация уязвимости php-скриптов типа LFI. Подробности в блоге cr0w. Также возможны уязвимости другого класса для которых нужно это расширение, но они не так распостранены.
  • Некоторые продвинутые веб-шеллы таким образом принимают команды.

 

Просмотр и модификация содержимого POST-запроса

Если параметры GET-запроса изменять можно непосредственно в адресной строке, то в POST-запросе не все так просто. В этом случая полезно многофункциональное расширение Tamper Data к Firefox. Изменение POST-запроса - только одно из возможных применений, с помощью него можно просматривать и изменять другие поля запроса, HTTP-ответ сервера.

 

Ссылки:



Обновлено 20.08.2011 17:40

 

Комментарии  

 
#1 Гость 25.04.2011 10:56
Ещё для просмотра запросов отлично подходит дополнение для лиса HttpFox.
Цитировать
 
 
#2 massage lyon 26.05.2017 23:29
Disons que tres recemment, dans le cadre de mon activite professionnelle , j'ai fait avec mes
eleves quelques ateliers de poesie et que, devant la pertinence de
leurs productions, j'ai decide de leur consacrer une page sur mon site
( rubrique Le jardin des jeunes poetes ).


Feel free to surf to my homepage ... massage lyon: http://www.elisacavanna.club
Цитировать
 
 
#3 magasin bio en ligne 16.06.2017 22:20
Fantastic internet site you've gotten in here.



simply click the following
website page: http://www.csdpoliarte.it/userinfo.php?uid=86773 - [url=http://www.castronicoladir ienzo.com/?option=com_k2 magasin bio
en ligne: http://salvadore.by/component/k2/itemlist/user/1798
Цитировать
 

Добавить комментарий


Защитный код
Обновить