仅使用浏览器内置工具手动检查 Web 应用程序的安全问题。通常情况下,自动化安全工具和脚本会遗漏许多潜在的漏洞和有用的信息。
- 【源代码】查看源代码 - 使用浏览器查看网站的人类可读源代码。
- 【F12 Element/检查】检查器 - 学习如何检查页面元素并进行更改以查看通常被阻止的内容。
- 【F12 Sources】调试器 - 检查和控制页面 JavaScript 的执行流程
- 【F12 NetWork】 网络 - 查看页面发出的所有网络请求。
查看源代码
- 【背景】页面源代码是每次我们发出请求时,Web 服务器返回给我们的浏览器/客户端的人类可读代码。
- 【用途】右键查看源代码查看HTML代码
- 【关键】可以查看注释中的代码
<!--and ending with-->,href链接,以及链接中的目录结构
使用Element查看网页元素
- 【背景】页面源代码并不总是能完全反映网页上显示的内容;这是因为 CSS、JavaScript 和用户交互都会改变页面的内容和样式,所以我们需要一种方法来查看浏览器窗口中当前显示的内容。
- 【用途】可以在元素上右键点“检查”,或者F12点Element。
- 【关键】检查和临时修改 HTML 结构 + CSS 样式,比如更改CSS中的‘display’字段来清除付费墙
使用调试器(Sources)来检查JS执行
- 【背景】在 Firefox 和 Safari 中,这个功能叫做“Debugger”,但在 Google Chrome 中,它叫做“Sources”。用来调试 JavaScript ,对于 Web 开发人员来说,它又是一个非常棒的功能。对于渗透测试人员来说,能够深入挖掘 JavaScript 代码。
- 【用途】主要用于 查看、编辑和调试 JavaScript
- 【关键】从Sources左侧文件栏中可以查看JS文件,可以打断点分析JS运行。(Sources也有Html\CSS文件,可以编辑 CSS 文件(并保存到本地),但不能直接编辑 HTML 文件的内容。)
用NetWork查看网络请求
- 【背景】“网络”选项卡可以用来跟踪网页发出的每个外部请求。点击“网络”选项卡并刷新页面,即可查看页面请求的所有文件。
- 【用途】相当于针对当前网页的、只读的、已解密的 HTTP 抓包视图。,抓取前端资源请求、静态资源请求、后端逻辑请求等
- 【关键】查看返回报文时,“Response 是服务器真正返回的原始数据,Preview 是浏览器帮你美化后的版本。”
