WebScarab工具可以在任何地方拦截任何HTTP请求吗？

Question

最近，我一直在深入研究web应用程序安全性。在浏览时，我从OWASP中找到了WebScarab工具，它可以向您的web应用程序注入可能的攻击，并使您的应用程序易受攻击。

我正在使用该工具来拦截通过基于JSF1.2框架的web应用程序的任何请求。使用时，我注意到，在表单中输入的任何值都会以HttpRequest的形式显示，tool.You可以修改这些值，它将自动创建新的请求头，而且修改后的值将明显地插入到DB中。

这不是潜在的攻击吗？我的意思是，任何人都可以在工具的帮助下拦截任何HttpRequest并修改参数，并注入一些恶意内容，

我的问题是：

1. 每个人都有可能拦截从任何网页生成的HttpRequest，比如stackoverflow.com吗？
2. 如果是，如何避免未知用户修改参数并重新生成编码的URL？
3. 如果没有，请解释原因？我完全麻木了？

Answer 1

WebScarab是一个代理：

WebScarab作为拦截代理运行，允许操作员在将请求发送到服务器之前检查和修改浏览器创建的请求，并在浏览器接收到请求之前检查和修改从服务器返回的响应。

但这需要客户端(例如您的web浏览器)实际使用使用代理。

为了开始使用WebScarab作为代理，需要将浏览器配置为使用WebScarab作为代理。这是使用工具菜单在IE中配置的。选择Tools，->，Internet，-> Connections，->，LAN设置，以获得代理配置对话框。

因此，只能截获使用WebScarab代理的客户端的通信。

Answer 2

使用WebScarab或其他UI访问器工具，person可以在从客户端处理请求到服务器之间更改事务数据。

基本上，可以通过在应用程序的客户端和服务器端应用相同的验证来避免这种情况。例如，如果应用程序更改了pwd功能，并且有人尝试阻断器并使用新截获的pwd修改Pwd。保存时，应该在服务器端验证它，用户是否输入了正确的密码。