一. 簡介

作為 Firefox 的插件， Tamper Data 簡單易用，功能強大，可以用來查看和修改 HTTP/HTTPS 的頭部和 POST 參數(shù)，模型web攻擊；可以用來跟蹤 HTTP 請求和響應(yīng)并記時；

二. 使用

Tamper提供請求監(jiān)控和修改功能

2.1 請求監(jiān)聽

工具頁面分為：

監(jiān)控窗口：

firefox所有tab打開網(wǎng)頁發(fā)送的 HTTP 請求及其對應(yīng)的響應(yīng)都會被 Tamper Data 監(jiān)控下來（默認(rèn)狀態(tài)）

左下角窗口為每個請求的頭信息。類似Firebug。

右下角窗口為每個請求的返回頭信息，類似Firebug。請求返回的詳細(xì)信息，要通過鼠標(biāo)右鍵 點擊http請求-view source來顯示。

注：Filter 可以只顯示指定域名的請求。

2.2 攔截請求

在點擊Start Tempar之后，會彈窗：

點擊Tamper：

右鍵，可以：添加新的請求參數(shù)、請求頭，在參數(shù)名上右鍵，可以彈出菜單，其中有 xss/sql/data 選項，xss有預(yù)定義xss script腳本。或者直接修改 參數(shù)對應(yīng)的value。點擊確定之后，就會提交請求。

XSS攻擊示例

對接口，自定義皮膚：http://t.163.com/user.do?action=updateUserConfig進(jìn)行非法數(shù)據(jù)提交（xss）

Start Tamper，點擊頁面的保存按鈕。

會彈窗：

"Tamper"操作：

修改為：

提交之后：

服務(wù)器返回555，后臺禁止 非法數(shù)據(jù)提交。

原理：

三. Tamper Option

默認(rèn)不支持圖片攔截，可以在Option選項中啟用。Context Menu也可以添加一些自定義數(shù)據(jù)。

四. xss攻擊常用符號

[1] <>（尖括號）

[2] "（引號）

[3] '（單引號）

[4] %（百分比符號）

[5] ;（分號）

[6] ()（括號）

[7] &（& 符號）

[8] +（加號）