Can Tamper Data (il plugin) modifica le richieste multipart?

Naviga le tue risposte
3

Sto facendo dei test sulla mia app web con Tamper Data. Ho avuto successo con Tamper Data in passato per normali richieste di post HTTP, ma in questo caso specifico voglio modificare una richiesta di post che ha il tipo di contenuto impostato su codifica multipart / form.

Dati di manomissione mostra questa richiesta come un grande blog di fuga caotica e il campo di testo è troppo piccolo per visualizzare l'intera cosa o modificarlo ragionevolmente. Ho anche provato a copiare / incollare su un editor di testo, apportare modifiche, quindi copiare / incollare indietro, ma non devo fare qualcosa di giusto perché l'app web non sta funzionando come se avesse ricevuto dati di qualsiasi tipo.

Esiste un'impostazione che mi manca per avere dati di manomissione che modificano richieste di più parti come questa in un modo più semplice? Se no, qualche consiglio per farlo a mano? Grazie.

    
posta Mark E. Haase 28.12.2011 - 16:28
fonte

2 risposte

4

Di solito è possibile modificare la richiesta POST copiando / incollando in un editor di testo. Ma non sempre, trovo che spesso causerà problemi durante la pubblicazione di JSON. Questo processo può anche danneggiare il tipo di contenuto e la dimensione del contenuto, sebbene di solito questo risolva il problema (ma non è affidabile).

In generale, trovo i proxy autonomi più facili da usare e più potenti. Puoi anche fare cose come modificare l'intera richiesta http, incluso l'URL, che è qualcosa che non puoi con tamperata. Il OWASP Zed Attack Proxy o strumenti commerciali come BURP e Charels sono tutte ottime scelte per qualsiasi tester di penna.

    
risposta data 28.12.2011 - 20:40
fonte
5

Secondo la mia esperienza funziona bene (copia / incolla e modifica e CP di nuovo). Tuttavia ho cambiato solo il nome del campo per testare una manipolazione del percorso. Ed è stato un successo. Potresti avere problemi con la tua webapp.

    
risposta data 28.12.2011 - 18:13
fonte

Leggi altre domande sui tag

Le scansioni di SQL injection sono considerate illegali? [chiuso] Una società emittente carte può memorizzare il numero CVV, la data di scadenza e il numero di 16 cifre della carta?