編譯安裝owaspwebscarab

《編譯安裝owaspwebscarab》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。

1、編譯安裝OWASPWebScarab最近在使用WebScarab的時(shí)候發(fā)現(xiàn)有個(gè)bug，這個(gè)bug本身很容易修復(fù)，只是為此無(wú)法使用直接下載的WebScarab的binary，必須重新編譯一下。特把編譯過(guò)程紀(jì)錄下來(lái)。下載源代碼：直接通過(guò)IE下載最新的snapshot：http://dawes.za.net/gitweb.cgi?p=webscarab.git;a=tree編譯需求：看了下說(shuō)明文檔，編譯需要使用ANT。所以又下載了JDK1.6以及ANT1.8，在把JDK以及ANT得環(huán)境設(shè)置好之后準(zhǔn)備開工。開始編譯：把下載的WebScarab

2、得源代碼解壓縮之后進(jìn)入其目錄，直接執(zhí)行ant結(jié)果失敗，報(bào)錯(cuò)說(shuō)找不到ProGuard。ProGuard是個(gè)什么東東？把WebScarab的ANT腳本打開之后發(fā)現(xiàn)是因?yàn)橛袀€(gè)新的task需要ProGuard的jar包不管了，google一下之后在這里http://proguard.sourceforge.net/把目前最新的4.7下載了下來(lái)，解壓縮

3、之后發(fā)現(xiàn)里面有編譯好的jar包。再次編譯：仔細(xì)看了下WebScarab的編譯腳本，定義proguad的task需要把proguard.jar放到${proguard.location}/lib/proguard.jar這個(gè)目錄下面，proguard.location這個(gè)參數(shù)在編譯腳本里面沒(méi)有，需要在ANT命令里面指定。這樣我就把把proguard.jar復(fù)制到WebScarab解壓目錄的lib目錄下面，再次執(zhí)行ant-Dproguard.location=.OK，這次一切順利，編譯好的WebScarab在dist目錄下面，直接執(zhí)行ja

4、va-jar./webscarab-selfcontained-[numbers].jar就可以運(yùn)行了。修正的問(wèn)題：在srcorgowaspwebscarabpluginfuzzParameter.java,第125行代碼如下：if(contentType.equals("application/x-www-form-urlencoded"))這邊是判斷如果一個(gè)HTTP請(qǐng)求的HTTPcontent-type頭是form請(qǐng)求，那么會(huì)試圖解析HTTPbody里面的參數(shù)，但是根據(jù)RFC2616(http://www.ietf.o

5、rg/rfc/rfc2616.txt)：Content-Type="Content-Type"":"media-typemedia-type=type"/"subtype*(";"parameter)在后面還可以跟其他參數(shù)的，典型的例子是編碼（如下圖），按照代碼里面的完全匹配的方式，這樣會(huì)導(dǎo)致HTTPBody里面的參數(shù)無(wú)法被解釋出來(lái)。修正采用了一個(gè)很簡(jiǎn)單的辦法，使用不完全匹配：if(contentType.indexOf("application/x-www-form-urlencoded")>=0)雖然可能會(huì)有其他問(wèn)題，但是至少我自

6、己使用沒(méi)有問(wèn)題了J