`

http协议监测调试的“瑞士军刀” LiveHttpHeaders 安装使用教程

 
阅读更多
http://www.path8.net/tn/archives/2540
当我们测试Web应用程序的安全性的时候,经常需要对HTTP流量进行分析和动态修改。此外,取得对Web 应用程序流出和流入的数据的控制权不仅对Web 应用程序安全缺陷的发现和漏洞的利用等安全测试任务具有很大的帮助,而且还有利于常规的Web 应用程序测试。本文中,我们将讲解用于上述目的的工具:LiveHttpHeaders,有了这个Firefox扩展,我们不必架设代理服务器就可以方便地分析和操纵HTTP流量。

一、LiveHttpHeaders的安装

LiveHttpHeaders是一个用于分析HTTP流量的 Firefox 扩展,我们可以用它来分析和重放http请求。我们下面详细的说明该插件的安装步骤。首先,将浏览器导航至http://LiveHTTPHeaders.mozdev.org/installation.html,然后鼠标单击“Install version 0.14 of LiveHTTPHeaders now”超链接来选择当前的最新版本,如下图所示:



图1 单击图中所示的链接

如果Firefox阻止了该扩展的安装,可以在单击右边的“允许”按钮以继续安装。如下图所示:



图2 点击“允许”按钮

单击上图中的“允许”按钮就会启动安装过程,这时浏览器会弹出如下所示的“软件安装”对话框,如下图所示:



图3 单击“立即安装”按钮

单击“软件安装”对话框中的“立即安装”按钮进入下一安装画面,如下图所示:



图4 重启浏览器

在“附加附件”对话框中,请单击“重新启动Firefox”按钮,当浏览器重启后,会自动弹出如下所示画面:


图5 安装结束

这说明我们已经成功安装好了LiveHttpHeaders扩展,关闭该对话框,我们就能在工具菜单以及“查看”菜单下的“侧栏”子菜单中看到LiveHttpHeaders的菜单项了。

二、LiveHttpHeaders主窗口

根据我们目的的不同,LiveHttpHeaders有两种启动方法:当我们只想监视通信量的时候,可以从浏览器的“查看”菜单中选择“侧栏”菜单项,最后选择Live HTTP Headers菜单项;如果要使用该工具全部特性的话,则需要通过单击“工具”菜单中的Live HTTP Headers项来打开它,如下图所示。


图6 Live HTTP Headers的主窗口

LiveHttpHeaders主窗口中有多个选项卡,不同的选项卡对应于不同的功能。窗口的中间部分显示的是发 出的请求和收到的响应,而各个请求-应答对之间有水平线进行分隔。该窗口底部包含LiveHttpHeaders的动作按钮以及规定是否启用捕获模式的 “Capture”复选框。选中这个按钮可以停止LiveHttpHeaders向下滚动,以便对已经产生的通信流量进行分析。

三、利用LiveHttpHeaders重放请求

除了监视HTTP流量外,我们还能利用LiveHttpHeaders重放一个请求,这对于Web 应用程序的安全性测试来说非常重要。LiveHttpHeaders使我们能够轻松读写之前的请求,所以也就能够方便地通过修改该请求的各个部分来测试程 序的弱点和缺陷。要进行重发的话,只要在窗口中间部分已列出的请求中选择一个,然后在窗口底部单击“Replay”按钮就会弹出如同图7中看到的那样的窗 口,我们能够在此对该请求进行各种修改,例如我们可以添加额外的头部,改变请求方式(GET或POST),或者修改发往服务器的参数,等等。对请求做好修 改后,单击“Live HTTP Replay”对话框底部的“Replay”按钮即可实现该请求的重发。



图7 请求重放对话框

重放可能是LiveHttpHeaders中最有用的功能,因为它直接把请求的结果加载到浏览器中,这正是各Web代理程序所不具备的,如Burp。利用重放窗口,我们可以进一步利用浏览会话进行各种修改并查看其结果。

四、修改POST参数

正如前面提到的那样,我们能够利用重放功能来改变请求的任何部分,其中包括POST参数,如图8所示。注意,改变POST 请求时,需要注意头部中的Content-Length参数,因为LiveHTTPReplay不能动态提供请求内容的长度值。虽然大多数Web服务器/应用程序并不关心该值的对错,但是按照RFC的规范,该头部是必需的。如果不包含这个值,当使用了入侵检测系统(IDS)监控Web通信流量时,就会引起IDS报警。幸运的是,LiveHttpHeaders提供了一个长度计数器,它位于该窗口的左下方,我们可以利用它来插入我们的内容长度值。



图8 即时重放HTTP

除GET和POST请求之外,我们还可以利用这个工具通过TRACE、TRACK 和OPTIONS方式来测试Web服务器。例如,为重放工具提供下列命令,就可以测试一个Web服务器是否允许无限制的文件上载。



图9 模拟HTTP PUT

五、过滤功能

最后要介绍的是如何过滤掉不想要的请求类型,这会在检查大型Web 应用程序时减少我们的工作量。首先单击Live HTTP Headers主窗口中的Config选项卡,如下图所示:



图10 LiveHTTPHeaders 的配置对话框

通过该配置视图,我们可以排除和包括匹配特殊正则表达式规则的URL。使用“Filter URLs with regexp ”和“exclude URLs with regexp ”,可以根据请求的URL来规定哪些类型的请求是我们想要的。在上图中,以.gif、.jpg、.ico、.css和.js 结尾的请求将会排除在Headers视图之外。

六、小结

本文中,我们对LiveHttpHeaders在安全测试方面的功能做了详细的介绍。总的来说,在发现XSS缺陷 方面,LiveHttpHeaders是最常用的工具之一。我们可以通过几次点击就能很轻松地查看请求的内部细节,修改并重放它们。如果您留心观察的话, 您就会发现LiveHttpHeaders重放的每个请求的结果,仍会进入浏览器窗口。与其它的测试工具例如应用程序代理等不同的 是,LiveHttpHeaders提供了一个可视化的结果,这能帮你更快地理解它们。
分享到:
评论

相关推荐

    火狐浏览器插件Live HTTP headers 0.17版

    该版本Live HTTP headers中Replay功能无法使用问题已修复,具体安装步骤请参考:https://blog.csdn.net/qq_22146195/article/details/103537148

    live_http_headers

    live_http_headers Firefox 插件。用于最新版的FF.

    live http headers0.17.1

    live http headers0.17.1火狐老插件,可以直接本地安装在旧版火狐上面,可以查看源码、查看连接等。

    livehttpheaders

    LiveHTTPHeaders是FireFox下的一个插件,可以用来实时监测发起的http请求和响应,也可以修改请求参数之后重新发起请求。在firefox中不得不装的一个插件

    livehttpheaders-0.17.xpi

    firefox插件,可以用来测试脚本,比IE要好用很多

    Web应用安全:Livehttpheader插件介绍.pptx

    Live http headers ,有了这个Firefox扩展,我们不必架设代理服务器就可以方便地分析和操纵HTTP流量,和轻松实现抓包改包功能。 Live http header插件简介 Live http header插件的安装 本次安装我们在firefox上直接...

    live_http_headers-0.14-fx+sm.xpi

    live_http_headers-0.14-fx+sm.xpi

    Web应用安全:Livehttpheader插件介绍.docx

    本文将对 LiveHttpHeaders 的功能和使用方法进行详细介绍。 LiveHttpHeaders 的主要功能 LiveHttpHeaders 的主要功能包括: 1. HTTP 流量分析:LiveHttpHeaders 能够捕捉和分析 HTTP 流量,包括请求和响应报文。 ...

    Live HTTP Headers Replay-开源

    例如,当开发者遇到某些网页加载异常或者API调用出现问题时,他们可以先使用"Live HTTP Headers"收集请求信息,然后通过"Lhhreplay"在测试环境中复现这个问题,以便进行更深入的调试。这种方法可以帮助定位网络问题...

    live-headers.zip

    本文将深入探讨这款插件的安装、使用方法以及其内部工作原理。 首先,我们来了解一下如何安装这款插件。在Chrome浏览器中,用户可以通过访问Chrome Web Store找到"微吼在线查询和点名查询插件",点击“添加到Chrome...

    天空Live Http Headers「Sky Live Http Headers」-crx插件

    Sky Live Http报头可以以图形方式显示Http请求和响应头。复制按钮将标题复制到剪贴板。 Sky Live Http标头可以以图形方式显示...https://github.com/nagoring/Sky-Live-Http-Headers 支持语言:English (United States)

    RabbitMQ安装使用教程

    **RabbitMQ安装使用教程** RabbitMQ是一种广泛使用的开源消息代理和队列服务器,它基于AMQP(Advanced Message Queuing Protocol)协议实现。在分布式系统中,RabbitMQ能够帮助处理异步任务,实现解耦和扩展性,是...

    ie httpHeaders + fire httpHeaders 天涯浪子

    "live_http_headers-0.15-fx+sm.xpi"是一个.xpi文件,这是Firefox扩展的安装文件格式。文件名中的"0.15"可能表示版本号,"fx+sm"可能意味着这个扩展不仅适用于Firefox(fx),还可能支持SeaMonkey(sm)——一个由...

    http协议分析工具

    此外,HTTP::Cookies模块处理HTTP Cookie,HTTP::Headers处理HTTP头信息,这些工具使得Perl在HTTP协议分析中表现出色。 Delphi,由Embarcadero Technologies开发,是一种集成开发环境,主要用于Windows平台。Delphi...

    Live HTTP Headers-crx插件

    如果您要执行以下操作,此扩展名可能会有所帮助:*调试Web应用程序*遵循重定向路径*查看远程站点发送的cookie *查看远程站点使用的Web服务器*查看发送到服务器的标头*查看服务器返回的标头*请参阅所用的HTTP动词。...

    http调试助手

    HTTP调试助手是一款强大的工具,主要用于协助开发者和网络技术人员在开发、测试或排查HTTP协议相关问题时进行调试。它支持各种常见的HTTP请求方法,包括GET、POST、DELETE、UPDATE等,这些方法是HTTP协议中用于数据...

    模拟http调试工具

    在IT行业中,网络请求调试是开发、测试以及故障排查过程中的重要环节。"模拟http调试工具"正是这样一款工具,它允许用户在本地环境中轻松地模拟POST和GET请求,以便于测试API接口或者理解HTTP通信过程。这款工具的...

    jmeter+postman安装包(linux)另附linux安装使用教程

    【Linux安装教程】 1. **JMeter安装**:首先,访问JMeter官方网站下载最新版本的源码包,使用`wget`命令下载到Linux系统。接着,使用`tar`命令解压文件,进入解压后的目录,运行`./bin/jmeter.sh`启动JMeter。 2. *...

Global site tag (gtag.js) - Google Analytics