web安全测试之基本观察学习笔记——高亮显示JavaScript和注释

最新推荐文章于 2022-02-19 12:38:50 发布
最新推荐文章于 2022-02-19 12:38:50 发布
阅读量926 收藏
点赞数
分类专栏: 安全测试 文章标签: javascript 测试 web comments 脚本 bbs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aovenus/article/details/7457724
版权

web安全测试之基本观察学习笔记——高亮显示JavaScript和注释

查看源代码有助于发现隐藏的不安全信息以及检查攻击的效果,而对于源代码中开发人员的注释以及javascript的在线动态行为都是我们需要重点关注的,我们可以利用webscarab快速找出嵌入式注释和Javascript。

运行webscarab,利用浏览器访问某网站,查看webscarab捕获的信息,可以从中发现代码中的注释以及Javascript信息。在webscarab中summary选项卡中,访问URL地址右侧,三个复选框分别为Set-Cookie(是否设置了cookie)、Comments(是否包含HTML注释)、Scripts(是否将javascript作为网页的一部分运行),如下图为访问四川大学蓝色星空BBS论坛,webscarab捕获的信息,如下图所示:

 

对于注释或脚本对应的复选框被选中的页面,可以点右键查看详细信息,如下图所示:

 

点show scripts,查看脚本详细信息,弹出详细信息展示窗口,如下图所示:

 

点show comments,查看注释详细信息,弹出详细信息展示窗口,如下图所示:


注释通常会泄露有关web应用内部工作的详细信息,有些甚至包含管理页面引用、开发调试、测试记录信息,我们可以从中发现有用的信息。


最后,感兴趣的同学,可以利用webscarab捕获,查看一些外网系统,是否有重大发现!

aovenus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jQuery代码着色高亮显示特效.zip
11-02
jQuery代码着色高亮显示特效是一种常见的网页开发技术,它能增强代码的可读性和美观性,使得在网页上展示代码样例时更加直观。这个压缩包“jQuery代码着色高亮显示特效.zip”可能包含了一个实现此类效果的示例项目,...
notepad::spiral_notepad:立即共享代码,注释和摘要
04-10
标题中的“notepad::spiral_notepad:立即共享代码,注释和摘要”可能是指一个基于Web的在线代码编辑器或者协作工具,它允许用户快速地编写、分享代码,并且可以添加注释和摘要,方便团队协作和知识共享。这个工具...
webscarab使用
weixin_30480651的博客
11-18 247
安装jdk-6u20-windows-i586.exe(需要java支持,bat里边就是用java执行的) 设置java环境变量,系统变量里配置 JAVA_HOME变量(默认已经设置好了)。 运行 start_webscarab.bat Ie浏览器-工具-internet选项-连接-局域网设置-代理服务器地址:127.0.0.1,端口8008。 Intercept-intercept re...
Webscarab特点
iteye_16188的博客
10-31 248
原文:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project kali中已存在该软件 [b]分片-[/b]当web数据流通过代理或插件的时候,可以从html页面中抽取脚本和html注释。 [b]代理-[/b]观察浏览器和web服务器之前的通信。WebScarab可以窥探HTTP和HTTPS数据流,通过在WebS...
20+最好的网页注释和标记工具
thewebcode
06-24 2756
网页标记工具和服务让你可以很方便的在正在浏览的页面添加注释、高亮和可视化的图表信息,就像你用铅笔或钢笔在纸质的书或杂志上做笔记一样。挺起来很新鲜吧? 网页标记工具允许你与远程的同事或其它相关人员在最短的时候内进行讨论、交换思路或者头脑风暴。如果用的好,它能给你全新体验的高效通讯方式。 如果你想对正在访问的页面做注释笔记,网页标记工具让你很方便的做到这些。这是一个有效的方式...
WebGoat教程解析——Hijack a Session
11-30 8639
WebGoat里面关于会话劫持(Hijack a Session)这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程,实际上这个课程完全可以只使用WebScarab来完成。下面把我的解法分享下: 这个课程就是说因为这个Web应用用来生成会话标识的算法不够随机,所以很容易被预测,从而要求我们发现会话标识生成的规律并且使用暴力破解的办法
2019测试指南-web应用程序安全测试(二)查看信息泄漏的网页注释和元数据
weixin_34356555的博客
03-04 256
2019独角兽企业重金招聘Python工程师标准>>> ...
OneNote2016代码高亮插件
05-08
它能够帮助开发者和学习者更好地理解和分析代码结构,通过不同的颜色和样式突出显示关键字、变量、注释等不同部分,提高阅读效率。本文将详细介绍如何在OneNote 2016中实现代码高亮,并介绍相关的插件——...
高级笔记
05-04
【描述】:“语法高亮显示”是高级笔记本编辑器的核心特性之一,它通过不同颜色和样式对代码中的关键字、变量、注释等元素进行区分,使得代码更加清晰易读,有助于减少错误和提高阅读理解能力。支持“多种语言”意味...
chromebuddy:Chrome学习伙伴
07-03
JavaScriptWeb开发的基石,允许开发者创建交互式的网页和应用。对于"Chromebuddy"这样的浏览器扩展,JavaScript的作用尤为重要,因为它能够直接在用户的浏览器环境中运行,与网页内容进行交互,提供诸如书签管理、...
容器安全检测工具之一:docker bench
热门推荐
aovenus的专栏-测试新时代(微信公众号:测试新时代)
02-02 1万+
docker bench 在github下载地址:GitHub - docker/docker-bench-security: The Docker Bench for Security is a script that checks for dozens of common best-practices around deploying Docker containers in production. Docker Bench是一个开源项目,该项目按照互联网安全中心(Cente...
信息系统安全等级保护基本要求——技术要求
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-20 8243
信息系统安全等级保护基本要求——技术要求   一、技术要求: 标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)     基本要求 第一级 第二级 第三级
信息系统安全等级保护基本要求——管理要求
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-20 7953
二、管理要求 标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)   基本要求 第一级 第二级 第三级 第四级 安全管理制度 管
安全测试发现可高速缓存的登录页面的解决方法
aovenus的专栏-测试新时代(微信公众号:测试新时代)
08-03 6188
发现可高速缓存的登录页面 【问题描述】采用IBM Appscan进行扫描测试,发现可高速缓存的登录页面,给出的修改建议为: 【解决方法】 1、首先简单了解下HTTP通用信息头中的Pragma的含义: Pragma头字段的设置值只能固定为no-cache,即Pragma:no-cache。当Pragma头字段用于响应消息时,指示HTTP1.0客户端不要缓存文档;当用于请求消息时,指示
web安全测试基本观察学习笔记——使用WebScarab观察实时的POST数据
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-12 5835
web安全测试基本观察学习笔记——使用WebScarab观察实时的POST数据 POST请求时用于提交复杂表单最常见的方法,不同于GET取值,我们无法仅通过查看网页浏览器窗口顶部的URL来得知所有被传递的参数,参数经由连接从我们的浏览器传送到服务器。 我们可以使用web代理工具,观察提交的POST数据,而WebScarab就是一种web代理,代理介于浏览器与真实的web服务器之间,所
Web安全测试常用工具
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-12 5160
Web安全测试常用工具 【说明】以下汇总整理来自《Web安全测试》第二章 安装免费工具。 序号 工具名称 工具说明 运行环境要求 下载地址 1 Firefox浏览器 Firefox浏览器具有可扩展的附加组件架构,是可用于web应用安全测试的最佳浏览器。 Windows、linux均可
web安全测试基本观察学习笔记——使用Tamper Data观察实时的响应头
aovenus的专栏-测试新时代(微信公众号:测试新时代)
04-13 3701
web安全测试基本观察学习笔记——使用Tamper Data观察实时的响应头                响应头是在服务器发送页面的HTML代码之前,从服务器发送到浏览器的。这些头信息包含以下信息:通信方式、页面类型、截止日期、内容类型等元数据。 我们可以使用Firebug查看到响应头,详细可参见使用firebug查看实时的请求头;也可以使用webscarab代理找到头信息。
移动App 安全测试
aovenus的专栏-测试新时代(微信公众号:测试新时代)
02-19 2562
授权测试专题之——绕过授权模式测试
aovenus的专栏-测试新时代(微信公众号:测试新时代)
07-04 2497
授权测试专题之——绕过授权模式测试 对于是否能够绕过系统授权认证,通常需要从以下几个方面进行评估测试: l  当用户没有通过验证时,是否有可能访问该资源?l  是否有可能在注销后访问该资源?l  是否有可能获得只应由拥有不同角色/特权的用户才能访问的功能和资源?l  尝试作为管理员用户访问应用程序并追踪所有的管理职能。如果测试者用普通用户身份登录是否有可能访问这些管理职能?l  因拥有
JavaScript学习笔记:元素交互与基本语法详解
本篇笔记记录了作者在学习JavaScript过程中的关键知识点,主要包括以下几个方面: 1. HTML中使用JavaScript: - 使用`<script>`元素插入脚本,这是在HTML文档中嵌入JavaScript基本方式。 - 子页面与父页面之间的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值