WebScarab說白了就是一個代理工具，他可以截獲web瀏覽器的通信過程，將其中的內容分析出來，使你很容易修改，比如我發一個submit請求，WebScarab首先截獲到，不急著給真正的服務器，而是彈出一個窗口讓你可以修改其中的內容，修改結束了再提交給服務器，如果網頁的輸入框進行了一些限制，如長度限制、數字格式限制等，只能使用這種方式進行修改了；它也可以修改服務器返回的response，這就可以過濾掉一些對客戶端進行限制的js等。這是OWASP的另一利器。

下面開始注入過程：

首先明確目標，webgoat的教程：

界面上只有一個輸入框，該教程的要求是要我們使用SQL注入方法登入界面，興沖沖的在password中輸入x’ or ‘1’=’1，不行，原來這個password框只能輸入8個字符，剛才的那個有12個字符之多！這時看樣子要祭出WebScarab了。

WebScarab的默認運行模式為Lite模式，如下圖：

需要將其更改為Full-Featured Interface模式，勾選上圖中的【use Full-Featured Interface】，重新啟動WebScarab，界面如下，多了很多功能選項：

因為我們要截獲發出的請求，將【Proxy】-【Manual Edit】-【Intercept request】勾選上。在IE中將代理服務器指向本機的8008端口(webscarab的)，在webgoat的密碼框中輸入111提交，馬上彈出了如下界面：

其中password可以修改為：x’ or ‘1’=’1，點擊Accept Changes，成功，界面如下：

總結

以上是生活随笔為你收集整理的如何利用WebScarab绕过JS验证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。