一. 簡(jiǎn)介

作為 Firefox 的插件， Tamper Data 簡(jiǎn)單易用，功能強(qiáng)大，可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數(shù)，模型web攻擊；可以用來跟蹤 HTTP 請(qǐng)求和響應(yīng)并記時(shí)；

二. 使用

Tamper提供請(qǐng)求監(jiān)控和修改功能

2.1 請(qǐng)求監(jiān)聽

工具頁面分為：

監(jiān)控窗口：

firefox所有tab打開網(wǎng)頁發(fā)送的 HTTP 請(qǐng)求及其對(duì)應(yīng)的響應(yīng)都會(huì)被 Tamper Data 監(jiān)控下來（默認(rèn)狀態(tài)）

左下角窗口為每個(gè)請(qǐng)求的頭信息。類似Firebug。

右下角窗口為每個(gè)請(qǐng)求的返回頭信息，類似Firebug。請(qǐng)求返回的詳細(xì)信息，要通過鼠標(biāo)右鍵 點(diǎn)擊http請(qǐng)求-view source來顯示。

注：Filter 可以只顯示指定域名的請(qǐng)求。

2.2 攔截請(qǐng)求

在點(diǎn)擊Start Tempar之后，會(huì)彈窗：

點(diǎn)擊Tamper：

右鍵，可以：添加新的請(qǐng)求參數(shù)、請(qǐng)求頭，在參數(shù)名上右鍵，可以彈出菜單，其中有 xss/sql/data 選項(xiàng)，xss有預(yù)定義xss script腳本。或者直接修改 參數(shù)對(duì)應(yīng)的value。點(diǎn)擊確定之后，就會(huì)提交請(qǐng)求。

XSS攻擊示例

對(duì)接口，自定義皮膚：http://t.163.com/user.do?action=updateUserConfig進(jìn)行非法數(shù)據(jù)提交（xss）

Start Tamper，點(diǎn)擊頁面的保存按鈕。

會(huì)彈窗：

"Tamper"操作：

修改為：

提交之后：

服務(wù)器返回555，后臺(tái)禁止 非法數(shù)據(jù)提交。

原理：

三. Tamper Option

默認(rèn)不支持圖片攔截，可以在Option選項(xiàng)中啟用。Context Menu也可以添加一些自定義數(shù)據(jù)。

四. xss攻擊常用符號(hào)

[1] <>（尖括號(hào)）

[2] "（引號(hào)）

[3] '（單引號(hào)）

[4] %（百分比符號(hào)）

[5] ;（分號(hào)）

[6] ()（括號(hào)）

[7] &（& 符號(hào)）

[8] +（加號(hào)）