Tamper Dataを使ってXSSやSQLインジェクションのテスト

前回Hackbarを紹介したということで、FFのAddonであるTamper Dateも紹介します。

概要

FFからリクエストされるGETやPOSTメッセージを横取りして、ヘッダやPOST値を変更してリクエストできるというもの。
※注 実際にXSSにも使えるので悪用しないように!

インストール

https://addons.mozilla.org/ja/firefox/addon/966
いつものようにインストールします。(再起動後反映)

起動

メニュのツール⇒Tamper Data
で起動します。

起動したところ。

横取り開始

左上にある【Start Tamper】をクリック
(Start Tamperを押したら全てのGET/POSTが横取りされるので、実際に横取りしたいメッセージを送る直前に押す)

リクエストを横取り

たとえばmixiのログインをTamperしたところ。

・Tamper(横取り)
・Submit(そのままリクエスト)
・Abort Request(リクエスト破棄)
ここで、【Submit】を押すと横取りできる。
※Continue Tamperingのチェックを外しておくと、それ以降のリクエストは横取りされない。

ヘッダやPOST値を編集する

編集はもちろん自由です。
そしてOKを押すと編集したリクエストが送信されます。


以上、悪用されれば最悪のツールですが、ぜひWebアプリのセキュリティテスト等に役立ててください。