Tamper Chrome是一个Chrome扩展程序,允许您动态修改HTTP请求并帮助进行Web安全测试。Tamper Chrome适用于所有操作系统(包括Chrome OS)。小Burp Suite的存在
Tamper Chrome安装
它有两部分组成,也就是需要安装两个扩展?
- 先安装 Tamper Chrome Extension
- 再安装 Tamper Chrome Application
- 重启你的浏览器.
Tamper Chrome使用
打开Tamper Chrome
点击鼠标右键,选中“检查”,或者option+command+j快捷键调出开发者工具。
点击箭头,即可看到Tamper
打开temper.可以看到左边的六个选项,从上至下依次的功能为
- 阻塞/重定向路由请求
- 请求头
- 响应头
- post消息监控
- 跨站脚本攻击(XSS)监控
- 重新请求
依次点击这六个工具的选择框,即可选中相应的功能,点击完后Ctrl+R对页面进行刷新,即可弹出相应的工具,接下来,我们分别介绍每个工具的功能。
阻塞/重定向路由请求
该工具允许阻止或重定向浏览器的请求,比如更改jQuery的版本。更改一些参数等等。可以直接通过更改URL并单击允许来实现。
这里打开一个网站,通过分别点击Block和Allow可以分别阻拦和允许加载url内容。还可以单击编辑JavaScript和Css样式表,从而修改javascript和CSS代码本身。右下角底部可选择通过所有请求。
请求头
虽然Block / Reroute请求有助于篡改网站,并取消一些请求,但在许多情况下,还需要修改HTTP请求头。
- 通过点击垃圾箱图标来删除标题,
- 通过单击复制图标复制其值。
- 通过点击[new]按钮添加新标题。
- 最后点击ok可以看到页面重新加载的情况。
响应头
响应标头与请求头完全相同。 它允许您删除,修改或添加新标题。
对于删除或修改许多安全标题(如Content-Security-Policy,X-Frame-Options,X-XSS-Protection等)非常有用。
post消息监控
与其他工具不同,此工具主要用于监控使用HTML5 postMessage() API的网站。
postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。
它记录当前选项卡中所有iframe上收到的每条消息。
它在侦听postMessage的每个处理程序上设置一个断点。
跨站脚本攻击(XSS)监控
Tamper Chrome的另一个非常酷的功能是它允许更好地调试跨站脚本攻击(XSS)漏洞。
当测试XSS时,您可以使用作为HTML元素(当然,它也可以作为一个属性,以Javascript变量形式存在,你也可以使用和)。Tamper Chrome会自动检测它,并显示它的具体位置,堆栈可跟踪它的生成位置。 非常适用于DOM XSS。
重新请求
Tamper Chrome中的最后一个工具是重新请求。 这个工具非常有用,因为它允许修改POST请求的XHR Postdata(即post请求的具体内容,或将POST请求写入GET请求)。
值得注意的地方在于,修改请求后,会生成一个新的请求,这个新的请求可用于修改。
功能上确实比之前的请求修改扩展要强上很多,功能上有点像Burp Suite的缩小版,当然两者定位不一样,体量也不一样,对开发人员来说用足够,对安全测试/渗透测试来说肯定首选择Burp Suite。