Application应用详解
- View Source - Use your browser to view the human-readable source code of a website.
- Inspector - Learn how to inspect page elements and make changes to view usually blocked content.
- Debugger - Inspect and control the flow of a page’s JavaScript
- Network - See all the network requests a page makes.
一般来说,我们审查一个网站,更大可能性有漏洞的是存在交互的地方,尤其是和用户进行交互
案例网站内容如下:
看源代码
右键,查看源代码
view-source:https://www.google.com/
ctrl+u
f12等等
看注释 <!— —>
注意里面藏的链接或者一些隐蔽信息等
比如有的会藏有一些key,密码 用户名等等
寻找各种目录,有时候一些目录是可以访问的。
备份,源代码等等,
网站很多都是用框架,看源代码可以发现是否用了框架。
利用源码寻找框架及版本。然后寻找相应的nday。很多可能都不会使用最新版本
并且注意观察版本更新的变动,从里面可能会找到一些攻击思路
经验教训就是要及时更新软件
开发者工具
浏览器里基本都自带了,这是一整套的工具
Elements Inspector
代码可能会因js等改变。查看源码看不到变化,这时候就需要用这个工具实时查看了
在这里也可以修改和调试代码
是否会看到一些查看源代码看不到的、????
改成none就可以了!
Debugger
主要是给开发者来调试js的。不过对于渗透测试攻击人员,也有很大用。
firefox和safari中,叫做Debugger,chrome中叫做Sources
左侧能够看到现在正在显示的页面的所有资源
点Contact页面的时候,一个红色页面突然闪去,这种一般是有js代码。
所以可以从Sources中查找一下js看一下
看到了这个,flash.min.js
可以把代码复制一下,找一个代码格式化的网站格式化一下。emmm或者让它格式化(Pretty Print)就行
这些代码看起来比较复杂,因为有混淆。
看到这段js代码最下面有个,可以在这里设置一个断点看看,点一下那个行数的数字就可以设置断点。
然后刷新页面,就会执行到这个断点。获得flag!
Network
它会持续最总记录所有的向外部的请求
在Contact页面发送一个请求,然后看看网络中有什么
它用了Ajax技术,就是在整个页面不全刷新的前提下,刷新局部(发送和接收数据
从network界面,我们能找到这个site.js 从这里可以发现一个接口
访问接口获得flag