作为 Firefox 的插件， Tamper Data 简单易用，功能强大，可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数，模型web攻击;可以用来跟踪 HTTP 请求和响应并记时

　　作为 Firefox 的插件， Tamper Data 简单易用，功能强大，可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数，模型web攻击;可以用来跟踪 HTTP 请求和响应并记时

　　一. 简介

　　作为 Firefox 的插件， Tamper Data 简单易用，功能强大，可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数，模型web攻击;可以用来跟踪 HTTP 请求和响应并记时;

　　二. 使用

　　Tamper提供请求监控和修改功能

　　2.1 请求监听

　　工具页面分为：

　　监控窗口：

　　firefox所有tab打开网页发送的 HTTP 请求及其对应的响应都会被 Tamper Data 监控下来(默认状态)

　　左下角窗口为每个请求的头信息。类似Firebug。

　　右下角窗口为每个请求的返回头信息，类似Firebug。请求返回的详细信息，要通过鼠标右键 点击http请求-view source来显示。

　　注：Filter 可以只显示指定域名的请求。

　　2.2 拦截请求

　　在点击Start Tempar之后，会弹窗：

　　点击Tamper：

　　右键，可以：添加新的请求参数、请求头，在参数名上右键，可以弹出菜单，其中有 xss/sql/data 选项，xss有预定义xss script脚本。或者直接修改 参数对应的value。点击确定之后，就会提交请求。

　　XSS攻击示例

　　对接口，自定义皮肤：http://t.163.com/user.do?action=updateUserConfig进行非法数据提交(xss)

　　Start Tamper，点击页面的保存按钮。

　　会弹窗：

　　"Tamper"操作：

　　修改为：

　　提交之后：

　　服务器返回555，后台禁止 非法数据提交。

　　原理：

　　三. Tamper Option

　　默认不支持图片拦截，可以在Option选项中启用。Context Menu也可以添加一些自定义数据。

　　四. xss攻击常用符号

　　[1] <>(尖括号)

　　[2] "(引号)

　　[3] '(单引号)

　　[4] %(百分比符号)

　　[5] ;(分号)

　　[6] (括号)

　　[7] &(& 符号)

　　[8] +(加号)