软件测试 | 使用 TamperData 观察实时的响应头

更多学习资料戳！！！

问题

响应头是在服务器发送页面的 HTML 代码之前，从服务器发送到浏览器。这些头信息包含着关于下列内容的有用信息：服务器希望的通信方式，页面类型，以及诸如截止日期和内容类型这样的元数据。响应是获取 Web 应用的先关信息的绝佳来源，对于我们想通过它实现的特殊功能来说，尤其如此。

响应头是攻击者用于查找应用特有信息的地方。与你的 Web 服务器和平台相关的信息将会作为标准请求的一部分被泄露出去。

解决方案

正如 3.3 节中所提到的，你可以在请求头旁边找到响应头，也可以通过代理来找到头信息，比如 WebScarb。我们将利用这项任务来向你介绍 TamperData,它是一个方便的工具，可以用在这项任务和其他几项任务中。

按照 2.2 节，安装 TamperData。它的安装方法与大多数附加组件相同。

从“工具”菜单中打开 TamperData，然后浏览到某个页面。在 TamperData 窗口中，你会发现它列举出了访问过的页面，这与 WebScarab 和 FireBug 是一样的。单击某个页面，就会显示出请求头和响应头，如图 3-12 所示。

讨论

响应头和响应本身之间存在着差别。响应头描述响应，它们是元数据。例如，响应头通常会包含以下内容：

状态（Status）

内容类型（Content-Type）

内容编码（Content-Encoding）

内容长度（Content-Length）

截止日期（Expire）

追后修改时间（Last-Modified）

多年来，响应头有所演化，因此，最初的规范（可以从 http:///http://www.w3.org/Protocols/rfc2616/rfc2616-sec6.html访问）只对其中某些项（比如状态）而言是正确的。

另外，有些响应头会显示。服务器软件以及响应发出的日期和时间。如果你允许 Internet 上的每个人看到你正在使用的服务器和平台，那么现在就应该确保你安装了最新的补丁，并阻止了一切已知的漏洞。

请特别注意 Content-Type 头信息。大多数时间它只不过是像“text/html;charset=UFT-8”这样的内容，表示正常的 HTML 响应和编码。不过，它也可能引用外部应用或引起异常的浏览器行为，而这些异常之处正式攻击可能悄悄潜入的地方。

例如，已知有些旧版的 PDF 阅读器会执行通过查询字符串传入的 JavaScript（详细情况请访问http://www.adobe.com/support/security/advisories/apsa07-01.html）。如果你的应用提供 PDF，那么它是直接将 Content-Type 设置为 applicant/pdf 吗？又或者它设置了 Content-Disposition 头信息，要求用户先下载 PDF，从而避免了任何 JavaScript 趁虚而入？

动态重定向是另一项危险的特性，因为它们可能会被攻击者用来将恶意网站的链接伪装成你的网站的链接，从而滥用了用户对你的网站的信任。作为链接，动态重定向通常具有如下形式：

http：//www.example.com/reirect.php?url=http://ha.ckers.org

可以看到，这些细节可能很难对付。如果你的应用使用某种特殊的头信息来处理文件上传、下载、重定向或任何其他事务，那么请确保研究了所有具体的安全防范措施，因为实际的危险要比这里所能列出的还要多。

新的响应头仍在不断地被开发出来。TrackBack、PingBack 和 RefBack 是一种新的、通常被称为 LinkBack 的 Web 功能的相互竞争的标准。这些 LinkBack 提供了一种双向的链接功能。它们因为迎合了当前的博客热而备受欢迎。

例如，如果 Fred 从自己的博客链接到 Wilma 的博客，那么他们的博客托管服务可以使用某种标准进行通信，于是 Wilma 的博客将显示 Fred 链接到她的博客。HTTP 头可帮助识别使用的是哪些标准，并传送链接信息。