WebScarab说白了是一个代理工具,他可以截获web浏览器的通信过程,将其中的内容分析出来,使你很容易修改,比如我发一个submit请求,WebScarab首先截获到,不急着给真正的服务器,而是弹出一个窗口让你可以修改其中的内容,修改结束了再提交给服务器,如果网页的输入框进行了一些限制,如长度限制、数字格式限制等,只能使用这种方式进行修改了;它也可以修改服务器返回的response,这可以过滤掉一些对客户端进行限制的js等。这是OWASP的另一利器。
  下面开始注入过程:
  首先明确目标,webgoat的教程:

  界面上只有一个输入框,该教程的要求是要我们使用SQL注入方法登入界面,兴冲冲的在password中输入x’ or ‘1’=’1,不行,原来这个password框只能输入8个字符,刚才的那个有12个字符之多!这时看样子要祭出WebScarab了。
  WebScarab的默认运行模式为Lite模式,如下图:

  需要将其更改为Full-Featured Interface模式,勾选上图中的【use Full-Featured Interface】,重新启动WebScarab,界面如下,多了很多功能选项: