深入查看网站源码，有助于我们了解程序编码逻辑，探测明显的漏洞，还可以用来作为测试过程中的代码变化的对照参考。

这篇文章，我们来看一个网站的源码，并进行相应的剖析。

实施步骤

首先，打开我们的漏洞靶机：Vulnerable_VM 【配置参见：测试环境搭建】

然后打开浏览器，访问靶机的 Web 服务：http://192.168.150.143

选择 WackoPicko 应用：

WackoPicko

右击选择 View Page Source：

View Page Source

一个包含上面页面源码的页面就会打开：

网页源码

通过查看源码，我们知道改网页引用了哪些库文件或其他外部文件。比如下图中的隐藏 input 标签，这个标签中的的 name 属性是 MAX_FILE_SIZE，它的值限定了我们可以上传文件的大小。如果我们修改这个值，我们可能可以上传比预期更大的文件，进而可能引发安全问题。

Paste_Image.png

有些应用还包含输入校验，代码编写，计算等功能，这些功能大多是通过JavaScript或者其他脚本实现的，这些脚本在浏览器里执行，因此我们可以通过源码来了解并找到漏洞。比如绕过输入校验功能，直接向后台发送非法数据。