HTTP Packet Maker 最新バージョン
Formrun Ver1.32 (Win)
目次
概要:
Formrun は、インターネットWWWの標準プロトコルであるHTTPプロトコルに基づいたリクエストメソッドを生成するプログラムです。次のような場合に使用できます。
- CGIのデバッグ
- 掲示板等のいたずら対策
- HTTPプロトコルの学習
- サーバー情報の調査
- ウエブ・セキュリティホールの調査
背景:
このプログラムは、Big-Z Projectで公開中の「匿名禁止BBS MinibbsZ v8.8」を開発する際の、攻撃シュミレータとし作成されました。このプログラムの利用により、より強固なセキュリティのウエブサイト構築をしてください。
特長:
Formrun は次のような特長を持っています。
- HTTPプロトコルのGETメソッドや、POSTメソッドを作成し、送信することができる。
- 送信するHTTPプロトコルの中身(ヘッダやボディ)を自由に編集できる。
- ウエブのFormの形式で、nameとvalueによるリクエストを生成できる
- レスポンスは、ヘッダを含めテキスト表示されるので、ヘッダの解析ができる。
- プロシキサーバ経由での送信ができる。
- Basic認証に対応し、会員制サイトに対してのリクエスト送信ができる。
- リクエストラインのURLエンコード機能により、ログのgrepに掛かりにくいリクエストの生成ができる。
- 繰り返しのリクエスト送信が可能で、連続書き込み攻撃のシュミレーションができる。
- valueとしてランダムな文字列が生成できる。
- 各種設定は、ファイルに保存できる。
- 各選択パラメータの選択肢を自由に設定/カスタマイズできる。
インストール:
- formrun.zip を適当なディレクトリに解凍します。
- FORMRUN.exeを実行してください。
ファイルの説明:
- Formrunのプログラム本体です。
- Formrunの各項目の選択肢の初期設定ファイルです。
テキストエディタで編集しカスタマイズすることができます。
- Formrunの設定ファイルです。リクエスト単位でファイルを保存できます。
各部の説明
- 設定データファイルの[保存]/[開く(読み込み)]ができます。
- 各設定が初期値に戻ります。
- 設定ファイルを読み込みます
- 現在の設定をファイルに保存します。
- 正式ライセンスの登録が済んでいない場合、このページで登録をしてください。登録が完了している場合は、入力フィールドは表示されません。
- また、未登録の場合は評価版として、機能限定で使用することができます。
- リクエストを送信するホスト(実際にはWWWサーバ)に関する情報を設定します。
- リクエストを送信するホストを入力します。通常は、URLの http:// と次の /までの間のデータです。
- リクエストを送信するホストのポート番号を指定します。通常は80です。
- リクエストで指定するURLです。通常はフルURLを入力します。
また、リクエストのURLの文字(末尾)をURLエンコードしたい場合は、その末尾部分だけを Encording Partに分けて指定します。
- HTTPプロトコルのメソッドを指定します。通常のリクエストならGET、CGIへのフォーム送信なら、GETかPOSTです。
- 会員制の認証の必要なサイトの場合に指定します。
- 会員制の認証の必要なサイトの場合のユーザーIDを指定します。
- 会員制の認証の必要なサイトの場合のパスワードを指定します。
- プロシキサーバを使用する場合に指定します。
- 連続送信の際に、毎回ランダムにプロキシサーバを切り替えて送信します。
プロキシサーバのリストは、予めformrun.ini に記述しておく必要があります。
- プロシキサーバを使用する場合のサーバ名とポート番号をコロンで区切って指定します。
- 例: proxy.localnet.dom:8080
-
- リクエストのヘッダー情報をセットします。デフォルトの状態でも動作します。分からない場合はRFCを読んでください。
- CGIへFormを送信する場合のデータをnameとvalueで指定します。
- Form1/Form2は、スペースの関係で分かれているだけです。両方のページのデータが送信されます。
-
- HTMLファイルの、<FORM ...> から</FORM>まで中にある、各項目を指定します。チェックした行のみが送信されます。
- <INPUT TYPE=.....>の name=の右辺(右側)を指定します。
- <INPUT TYPE=.....>の Value=の右辺の値や、フォームで入力するデータ(そのnameに対応した)を記述します。
- 他のデータと同じ形式ですが、Valueとして、指定文字数のランダムな文字データを生成します。
- 実際に送信するリクエストのデータを生成し、指定ホストに送信します。
- Query StringやEntity Bodyのデータをアルファベットまで全てURLエンコードしたい場合に指定します。
- 送信するリクエストの全文が表示されます。このフィールドでの編集も可能です。(Make後)
- サーバからのレスポンスデータをテキスト表示します。
- Requestフィールド、Responseフィールド、接続をクリアします。
- Host,Header,Form1,Form2ページで設定した情報に基づいてHTTPリクエストのデータを生成します。
- 生成されたHTTPリクエストを所定のホストに送信します。
- Repeat timesを設定すると、Make->Submit の動作を指定回数繰り返します。
使用方法:
基本編:
- 通常のGETリクエストとは、ブラウザを使用してホームページを見るときのHTTPリクエストです。
- Hostページの、WWW Host,URL,Methodを設定します。
- WWW Hostに、アクセスしたいURLのホスト部分("http://"と次の"/"の間)を入力します。
例:
http://www.rental-web.com/~big-z/ の場合、WWW Host に "www.rental-web.com"と入力
- URLにはそのままURLを指定します。
- Methodは、"GET"を選択します。
- Submitページで、「Make」→「Submit」で動作します。
- BBSやウエブチャット、アンケートなどのフォームの投稿を行う場合の手順です。
- 投稿フォームのあるウエブページのソース(HTML)を開きます。
ソースの中の、<FORM ...>から</FORM>の間のフォームの情報をFORMRUNに入力します。
- <FORM ACTION="http://******" METHOD="POST"....>の場合、HOSTページでWWW Host,URL,METHODをセットします。
- WWW Hostには、ACTIONにあるURLのホスト部分(通常のGETの項参照)を指定します。
もし、ACTIONの指定が相対指定だった場合(http::から始まっていない場合)、その元ページのURLからホスト名を取得し入力します。
- URLには、ACTIONの内容をフルURLで指定します。(http://*******)
もし、ACTIONの指定が相対指定だった場合(http::から始まっていない場合)、その元ページのURLとACTIONの項を組み合わせてフルURLを作成します。
- Methodの指定をします。(POST/GET)
- つづいて、FORMのデータを生成します。
<FORM ***>から</FORM>の間にある<INPUT ****>や<TEXTAREA ****>のタグの中の、NAMEとVALUEの値を取り出して、FORMページに追加します。
<TEXTAREA ***>は、下方の複数行の部分を利用すれば、改行も入力できます。
- VALUEの記入欄に、必要に応じて投稿データ(名前やE-Mailなど)を書き込みます。
- Submitページで、「Make」→「Submit」で投稿ができます。
中級編:
- プロキシ経由でリクエストを送信する場合は、Use Proxyをチェックし、プロキシサーバ名とポート番号をします。
- ユーザーIDとパスワードの入力が必要なサイトへのリクエストの場合は、Use Authrizationをチェックし、IDをPasswordを入力します。
- その他のヘッダーの書き換えが必要な場合は、Headerページで書き換えを行います。
- CGIのカウンターが付いている場合、<IMG SRC=http://*****>のURLに対して、SubmitページのRepeat Timesを指定して繰り返しリクエストを送信することで、カウンターを指定分だけ増やすことができます。
評価版の機能制限:
Formrun 評価版では、一部の機能(悪用される可能性のある機能)について利用できなくなっています。
正式版のライセンスを取得すれば、それらの機能も利用可能になります。
正式ライセンスの取得方法:
Formrun の正式ライセンスをご希望の方は次の方法でライセンスが取得できます。
- http://www.big-z.net/の入会希望フォームでお申し込みください。
Big-Z Project会員の方へ:
Big-Z Project会員の方は、正式ライセンスの申し込みは不要です。
入会時に発行されている、「Visitor Hacker」のライセンスコードでご利用いただけます。
