TamperData – Header unter der Lupe

Die Firefox-Extension TamperData ist zwar nicht neu, aber dennoch längst nicht so bekannt, wie die für Webentwickler ebenso hilfreichen Erweiterungen Firebug oder die Webdeveloper Toolbar.

Das Hauptfenster von TamperData ist in drei Teile gesplittet. Im oberen Bereich sieht man sämtliche Komponenten, die beim Aufruf einer Webseite geladen werden, wie z. B. das Hauptdokument, ausgelagerte CSS-Dateien, Javascript-Dateien oder Bilder. Zu den einzelnen Punkten in der Liste kann man noch Informationen wie die Ladezeit, die Übertragungsmethode (GET/POST), Content-Type und die genaue URL ablesen.

Wenn ein Request aus dieser Liste ausgewählt wird, sieht man im unteren Bereich von TamperData auf der linken Seite den Request-Header und wenn vorhanden, auf der rechten Seite den Response-Header.

Wozu brauche ich diese ganzen Informationen?

Status Überprüfung

Vielleicht hat man eine 301-Weiterleitung eingerichtet und möchte nun sehen, ob diese auch funktioniert. Im Response-Header müsste dann z. B. der Status 301 zu sehen sein.

Beispiel: http://www.danielkeppler.com leitet per 301 (Moved Permanently) auf http://danielkeppler.com weiter.

Ausgezeichnet, wie man der Anzeige entnehmen kann, funkioniert die 301-Weiterleitung wie gewünscht.

gzip aktiviert?

Ein weiteres Beispiel: Ich habe gzip aktiviert und möchte nun prüfen, ob das Dokument auch gzip-komprimiert angeboten wird.

Auf der linken Seite sieht man, dass der Browser (Firefox) gzip-Komprimierung unterstützt und dies beim Request mit angibt.

Der Server ist in diesem Fall so nett und versteht diese Anfrage und liefert das Dokument wie gewünscht gzip-komprimiert zurück. (siehe rechte Seite)

Sendet das Formular die richtigen POST-Variablen?

Bei TamperData werden natürlich auch die POST-Variablen beim absenden eines Formulars angezeigt. Diese Anzeige ist recht nützlich zum überprüfen, ob alle Variablen gefüllt sind und das richtige Format besitzen.

Mit einem Doppelklick auf “Postdata” erscheint ein weiteres Fenster, in dem alle Variablen und Inhalte angezeigt werden.

Es gibt noch zahlreiche andere Anwendungsfälle bei denen TamperData behilflich sein kann. Die oben genannten Beispiele sollen nur einen kleinen Einblick liefern, welch nützliche Informationen in den Headern zu finden sind.

Requests abfangen und verändern

Das abfangen von Requests ist im Grunde das mächtigste Feature von TamperData. Diese Funktion kann extrem hilfreich beim debuggen von komplexen Formularen sein oder auch wenn es darum geht, Sicherheitslücken in Skripten zu entdecken.

Damit TamperData alle Requests abfängt muss die Schaltfläche oben links (Tamper beginnen) aktiviert sein.

Nach der Aktivierung öffnet sich bei jedem Request eine kleine Eingabeaufforderung.

Bei Klick auf “Tamper” öffnet sich das Fenster mit den Request-Daten.

In diesem Fenster können alle Header-Werte von Hand geändert und anschließend weitergesendet werden. Für einen Entwickler ist diese Funktion extrem nützlich, schließlich kann er mal schnell bei komplexen Formularen alle möglichen Variablen-Konstellationen durchtesten und den Response untersuchen.

Natürlich kann das abfangen und verändern von Requests auch beim aufspüren von Sicherheitslücken behilflich sein. Entwickler können somit testen, ob ihre Skripte vor SQL-Injektionen sicher sind oder evtl. XSS-Schwachstellen die Sicherheit der Anwendung gefährden.

Warnung!
Bitte derartige Sicherheitsüberprüfungen ausschließlich an eigenen Seiten durchführen und auch nur dann, wenn man über das notwendige Wissen verfügt.

Fazit:

Für Webentwickler, die viel mit Formularen oder Ajax-Requests arbeiten, ist die Firefox-Extension TamperData genau das richtige Werkzeug um Transparenz in den Datenverkehr zu bringen.

Themen

TamperData – Header unter der Lupe

Wozu brauche ich diese ganzen Informationen?

Status Überprüfung

gzip aktiviert?

Sendet das Formular die richtigen POST-Variablen?

Requests abfangen und verändern

Fazit:

ähnliche Beiträge:

Leave a Reply

Kommentare

zufällige Beiträge

Allgemein

Stichworte

Archiv