Kali Linux Web滲透測試手冊(第二版) - 2.6 - 使用瀏覽器自帶的開發工具來做基本的分析和修改
翻譯來自:掣雷小組
成員資訊:
thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,
這個公眾號,一定要關注哦,慢慢會跟上面老哥們一起分享很多幹貨哦~~
第二章:偵察
介紹
2.1、被動資訊收集
2.2、使用Recon-ng收集資訊
2.3、使用Nmap掃描和識別應用服務
2.4、識別web應用防火牆
2.5、識別HTTPS加密引數
2.6、使用瀏覽器自帶的開發工具來做基本的分析和修改
2.7、獲取和修改cookie
2.8、利用robots.txt
2.6、使用瀏覽器自帶的開發工具來做基本的分析和修改
Firebug是一個瀏覽器的外掛,使用它可以分析網頁的內部元件,比如<table>、CSS和<frame>,也可以用它檢視當前網頁的DOM物件,錯誤程式碼和瀏覽器與伺服器之前的互動(請求和響應)資訊。
在之前的章節中,我們通過檢視HTML原始碼的手段發現了隱藏在<input>標籤中用來限制文字輸入長短的值values,在這個章節中,我們將使用火狐瀏覽器的Firebug外掛或者是OWASP的Mantra,來實現同樣的功能。
怎麼做…
確保vm_1正常工作的情況下,在你的Kali VM中開啟瀏覽器訪問
http://192.168.56.11/WackoPicko:
1. 在網頁上右鍵-審查元素
Tips:還可以使用F12或者Ctrl+Shift+C來打來瀏覽器的開發者工具
2. 在<form>表單的第一個<input>上有一個type=”hidden”,雙擊選中hidden標籤:
3. 將hidden更改為text或者刪除type="hidden"並按下“Enter”;
4. 現在,雙擊value的引數3000;
5. 將3000改為500000:
6. 現在我們可以在頁面上看到一個value為500000的全新的文字輸入框,這是因為我們剛才的操作更改了限制文件大小的關鍵引數。
它是如何工作的…
當網頁被瀏覽器載入後,那麼針對它網頁元素所做的所有修改都會被即時展現出來,但是一旦重新整理當前頁面,那麼真對元素所做的所有修改都將不復存在,它只會展示伺服器穿送過來的原有頁面。
開發人員工具可以直接修改展現在瀏覽器中的任何元素,所以遇到需要修改控制元件的地方,就可以使用這個工具。
更多…
開發人員工具不僅能夠操控標籤或者是修改值,它還有很多其他的功能:
Inspector選項是我們剛才用過的,它能夠將HTML原始碼以層級的方式展現出來,從而方便我們直觀地修改網頁的內容。
Console選項可以展示當前網頁的錯誤資訊,警告資訊和頁面載入時產生的其他一些相關資訊。
Debugger中可以看到當前頁面的所有原始碼資訊,可以在某處設定斷點,並且能在指令碼執行的過程中檢視變數的相關變化。
Style Editor選項可以檢視和修改當前頁面的CSS樣式;
Performance選項可以檢視當前頁面靜態資源和動態資源的載入時間以及其他的資訊,對開發人員來說,這個功能對於檢測客戶端程式碼執行效能有著至關重要的作用。
Memory用來獲取程序記憶體的快照,在快照中可以檢視到儲存在記憶體中的敏感資訊。
Network將伺服器的請求和響應的相關值,如型別、大小、響應時間和順序以時間軸的方式展現出來。
Storage中儲存了Cookie和其他的客戶端相關憑證,並且它們很輕易地就可以被更改或者刪除。
還有其他可以使用的選項有:
DOM
Shader Editor
Canvas
Web Audio
Scratchpad