深入查看网站源码,有助于我们了解程序编码逻辑,探测明显的漏洞,还可以用来作为测试过程中的代码变化的对照参考。
这篇文章,我们来看一个网站的源码,并进行相应的剖析。
实施步骤
首先,打开我们的漏洞靶机:Vulnerable_VM 【配置参见:测试环境搭建】
然后打开浏览器,访问靶机的 Web 服务:http://192.168.150.143
选择 WackoPicko 应用:
WackoPicko
右击选择 View Page Source:
View Page Source
一个包含上面页面源码的页面就会打开:
网页源码
通过查看源码,我们知道改网页引用了哪些库文件或其他外部文件。比如下图中的隐藏 input 标签,这个标签中的的 name 属性是 MAX_FILE_SIZE,它的值限定了我们可以上传文件的大小。如果我们修改这个值,我们可能可以上传比预期更大的文件,进而可能引发安全问题。
Paste_Image.png
有些应用还包含输入校验,代码编写,计算等功能,这些功能大多是通过JavaScript或者其他脚本实现的,这些脚本在浏览器里执行,因此我们可以通过源码来了解并找到漏洞。比如绕过输入校验功能,直接向后台发送非法数据。
网友评论