整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
题
在浏览器中浏览了网页之后,下一步就是查看其HTML源代码。尽管这种方法很简单,但仍然非常值得去做。查看源代码有两项作用;它可以帮助你发现最明显的安全问题,但最重要的是,它使你能够为将来的测试建立一个比较基准。对攻击失败之前和之后的源代码进行比较,你就能够调整你是输入,了解到哪些通过了,哪些没有通过,并再次尝试。
解决方案
我们推荐使用Firefox,你已经在2.1节中学会了它的安装。首先浏览应用中你所感兴趣的网页。
右击,并选择“查看源文件”或从菜单栏选择“查看”→ "源文件"。
我们推荐Firefox的主要原因是因为它的彩色显示。如图3-1所示,使用这种显示方式,HTML标签和属性都要容易理解得多。相比之下,Internet Explorer在记事本中打开网页。就会难读得多。
讨论
作为比较基准,访问HTML源代码会非常有帮助。最常见的Web漏洞涉及到向Web应用提供恶意输入以修改HTML源代码。在测试这些漏洞时,验证测试通过或失败的最简单的方法就是检查源代码是否被恶意更改。
当心一切未经更改就写进源代码中的输入。我们将在第8章讨论输入验证,然后许多应用根本就不对输入进行验证。在开始讨论更加复杂的内容之前,不妨在源代码中搜索你刚刚提供的输入。然后,使者将可能的危险值作为输入,比如HTML标签或JavaScript,并注意它是否未经修改就直接显示在源代码中。如果是这样的话,那么这就是个警示信号。
注意,你可以像搜索任何其他Firefox页面那样搜索HTML源代码(根据具体情况,使用Ctrl+F或(Windows徽标键)+F)。
在以后的秘诀和章节中,我们将使用工具来自动搜索、解析和比较源代码。记住基本要点;通常,可以通过重复地手动检查源代码以检查怎样做才能使它通过筛选程序或编码找出漏洞。
注意:你在这里看到的静态源代码不能反映JavaScript或AJAX功能所做的任何更改。
搜索微信公众号:TestingStudio霍格沃兹的干货都很硬核
在 Html 文件中输入 html:5 按下回车键,可快速生成 HTML5 页面模板:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
<title>Document</title>
</head>
<body></body>
</html>html:5
在 html 文件中输入 div#id>ul.list>li.item*5 按下回车键,可快速生成父子关系的结构:
<div id="id">
<ul class="list">
<li class="item"></li>
<li class="item"></li>
<li class="item"></li>
<li class="item"></li>
<li class="item"></li>
</ul>
</div>父子关系构建
重复元素: 使用 * 加上数字来创建多个相同的标签。例如,p*3 后按 Tab 会产生三个 <p> 段落标签。
<p></p>
<p></p>
<p></p><div class="container"></div><div id="main"></div><a href="https://example.com"></a><nav>
<ul>
<li class="item1"><a href="#">item 1</a></li>
<li class="item2"><a href="#">item 2</a></li>
<li class="item3"><a href="#">item 3</a></li>
<li class="item4"><a href="#">item 4</a></li>
</ul>
</nav>个主要的互联网浏览器都允许用户查看任何网页的HTML(超文本标记语言)源代码。以下部分包含有关在每个主要浏览器中查看源代码的多种方法的信息。
查看网页的源代码时,服务器处理的信息和代码不会出现。例如,搜索引擎处理服务器上的信息,然后在网页上显示结果。换句话说,你可以查看组成结果页面的代码,但不能查看搜索引擎的源代码。
此规则适用于所有服务器端脚本、SSI(服务器端包含)和编程代码。因此,你无法查看搜索引擎、论坛、投票、聊天等中使用的脚本源代码。此外,从源代码复制信息可能会导致错误,或将你引导回从中复制信息的页面。
要在Google Chrome中查看网页的源代码,请使用以下任一方法。
仅查看源代码
方法一
要仅查看源代码,请按计算机键盘上的键盘快捷键Ctrl+U。
方法二
右键单击网页的空白部分,然后从弹出菜单中选择“查看网页源代码”。
查看包含元素的源代码
1、打开Chrome并导航要查看其源代码的网页。
2、单击浏览器窗口右上角的设置图标。
3、从下拉菜单中,选择更多工具,然后选择开发者工具。
4、单击屏幕底部左上角的“元素”选项卡。
提示:在Chrome中,按F12或Ctrl+Shift+I也会打开交互式开发者工具。该工具提供了与源代码和CSS设置的更多交互,允许用户查看代码中的更改如何立即影响网页。
要在Mozilla Firefox中查看网页的源代码,请使用以下任一方法。
仅查看源代码
方法一
要仅查看源代码,请按计算机键盘上的Ctrl+U。
方法二
右键单击网页的空白部分,然后从弹出菜单中选择“查看网页源代码”。
查看包含元素的源代码
1、打开Firefox并导航到要查看其源代码的网页。
2、单击屏幕右上角的菜单Firefox菜单图标。
3、在下拉菜单中选择“更多工具”,然后从展开的菜单中选择“Web开发者工具”。
4、单击屏幕底部部分左上角的“查看器”选项卡。
提示:在Firefox中,按F12或Ctrl+Shift+I也会打开交互式开发者工具。该工具提供与源代码和CSS设置的交互,允许用户实时查看代码中的更改如何影响网页。
查看网页源代码的一部分
1、突出显示网页中要查看源代码的部分。
2、在高亮显示的部分上单击鼠标右键,然后选择“查看选中部分源代码”。
提示:你可以使用Firebug插件查看和编辑页面的源代码,并通过浏览器实时查看更改。
要在Microsoft Edge中查看网页的源代码,请使用以下任一方法。
仅查看源代码
方法一
要仅查看源代码,请按计算机键盘上的Ctrl+U。
方法二
右键单击网页的空白部分,然后从弹出菜单中选择“查看网页源代码”。
查看包含元素的源代码
1、打开Microsoft Edge并导航到要查看其源代码的网页。
2、单击屏幕右上角的设置图标。
3、将鼠标移到下拉菜单中的“更多工具”上,然后从展开的菜单中选择“开发人员工具”。
4、单击屏幕右侧窗口顶部的“元素”选项卡。
提示:在Microsoft Edge中,按F12或Ctrl+Shift+I也会显示交互式开发人员工具。该工具提供与源代码和CSS设置的交互,允许用户实时查看代码中的更改如何影响网页。
要在Microsoft Internet Explorer中查看网页的源代码,请使用以下任一方法。
仅查看源代码
方法一
要仅查看源代码,请按计算机键盘上的Ctrl+U。
方法二
右键单击网页的空白部分,然后从弹出菜单中选择“查看源”。
查看包含元素的源代码
1、打开Internet Explorer并导航到要查看其源代码的网页。
2、单击右上角的工具Internet explorer工具图标
。
3、从下拉菜单中选择“F12开发人员工具”。
4、单击开发人员工具菜单左上角的“DOM资源管理器”选项卡。
提示:在Internet Explorer中,按F12键将显示DOM工具。该工具提供与源代码和CSS设置的交互,允许用户查看代码中的更改如何立即影响网页。
*请认真填写需求信息,我们会在24小时内与您取得联系。
