美文网首页
03 勘察:查看网页源码

03 勘察:查看网页源码

作者: 半个王国 | 来源:发表于2016-07-19 17:02 被阅读63次

    深入查看网站源码,有助于我们了解程序编码逻辑,探测明显的漏洞,还可以用来作为测试过程中的代码变化的对照参考。

    这篇文章,我们来看一个网站的源码,并进行相应的剖析。

    实施步骤

    首先,打开我们的漏洞靶机:Vulnerable_VM 【配置参见:测试环境搭建】

    然后打开浏览器,访问靶机的 Web 服务:http://192.168.150.143

    选择 WackoPicko 应用:


    WackoPicko

    右击选择 View Page Source:


    View Page Source

    一个包含上面页面源码的页面就会打开:


    网页源码

    通过查看源码,我们知道改网页引用了哪些库文件或其他外部文件。比如下图中的隐藏 input 标签,这个标签中的的 name 属性是 MAX_FILE_SIZE,它的值限定了我们可以上传文件的大小。如果我们修改这个值,我们可能可以上传比预期更大的文件,进而可能引发安全问题。


    Paste_Image.png

    有些应用还包含输入校验,代码编写,计算等功能,这些功能大多是通过JavaScript或者其他脚本实现的,这些脚本在浏览器里执行,因此我们可以通过源码来了解并找到漏洞。比如绕过输入校验功能,直接向后台发送非法数据。

    相关文章

      网友评论

          本文标题:03 勘察:查看网页源码

          本文链接:https://www.haomeiwen.com/subject/mxsmjttx.html