WebScarab工具可以在任何地方攔截任何HTTP請求嗎？

Question

最近我一直深入研究Web應用程序的安全性。瀏覽時，我從OWASP中發現WebScarab Tool，它可能會將可能的攻擊注入到您的Web應用程序中，並使您的應用程序易受攻擊。

我使用該工具來攔截基於JSF 1.2框架，經過我的web應用程序的任何請求。使用時，我觀察到無論在表單字段中輸入什麼值，都會顯示爲HttpRequest。您可以修改這些值，它會自動創建一個新的請求標題，並且驚人地將修改後的值插入到數據庫中。

是不是一個潛在的攻擊？我的意思是任何人都可以攔截任何的HttpRequest和修改參數與工具的幫助和注入一些惡意內容，

我的問題是：

1. 是否有可能爲大家截取的HttpRequest從任何網頁產生，說stackoverflow.com？
2. 如果是的話，你怎麼能避免誰可以修改參數，並重新制作編碼URL未知用戶，這些修改？
3. 如果不是，請解釋原因？我絕對麻木？

Answer 1

WebScarab是代理：

WebScarab工作作爲攔截代理，使運營商能夠審查和它們被髮送到服務器之前修改瀏覽器創建的請求，並審查和修改響應在瀏覽器收到之前從服務器返回。

但是這需要在客戶端（例如Web瀏覽器），以實際use the proxy：

爲了開始使用WebScarab作爲代理，你需要配置你的瀏覽器使用WebScarab作爲代理。這是使用工具菜單在IE中配置的。選擇工具 - > Internet選項 - >連接 - > LAN設置以獲取代理配置對話框。

所以只有使用WebScarab代理的客戶端的通信才能被攔截。

Answer 2

使用WebScarab或其他UI攔截工具，人可以在請求處理之間從客戶端更改事務數據到服務器。

基本上，這可以通過在應用程序的客戶端和服務器側施加相同的驗證來避免。 例如，如果應用程序具有改變pwd功能，並且有人嘗試使用攔截器並用新截獲的密碼修改pwd，則保存應該在服務器端進行驗證，無論用戶是否輸入了正確的密碼。