整合營銷服務(wù)商
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
題
在瀏覽器中瀏覽了網(wǎng)頁之后,下一步就是查看其HTML源代碼。盡管這種方法很簡單,但仍然非常值得去做。查看源代碼有兩項作用;它可以幫助你發(fā)現(xiàn)最明顯的安全問題,但最重要的是,它使你能夠為將來的測試建立一個比較基準。對攻擊失敗之前和之后的源代碼進行比較,你就能夠調(diào)整你是輸入,了解到哪些通過了,哪些沒有通過,并再次嘗試。
解決方案
我們推薦使用Firefox,你已經(jīng)在2.1節(jié)中學會了它的安裝。首先瀏覽應(yīng)用中你所感興趣的網(wǎng)頁。
右擊,并選擇“查看源文件”或從菜單欄選擇“查看”→ "源文件"。
我們推薦Firefox的主要原因是因為它的彩色顯示。如圖3-1所示,使用這種顯示方式,HTML標簽和屬性都要容易理解得多。相比之下,Internet Explorer在記事本中打開網(wǎng)頁。就會難讀得多。
討論
作為比較基準,訪問HTML源代碼會非常有幫助。最常見的Web漏洞涉及到向Web應(yīng)用提供惡意輸入以修改HTML源代碼。在測試這些漏洞時,驗證測試通過或失敗的最簡單的方法就是檢查源代碼是否被惡意更改。
當心一切未經(jīng)更改就寫進源代碼中的輸入。我們將在第8章討論輸入驗證,然后許多應(yīng)用根本就不對輸入進行驗證。在開始討論更加復(fù)雜的內(nèi)容之前,不妨在源代碼中搜索你剛剛提供的輸入。然后,使者將可能的危險值作為輸入,比如HTML標簽或JavaScript,并注意它是否未經(jīng)修改就直接顯示在源代碼中。如果是這樣的話,那么這就是個警示信號。
注意,你可以像搜索任何其他Firefox頁面那樣搜索HTML源代碼(根據(jù)具體情況,使用Ctrl+F或(Windows徽標鍵)+F)。
在以后的秘訣和章節(jié)中,我們將使用工具來自動搜索、解析和比較源代碼。記住基本要點;通常,可以通過重復(fù)地手動檢查源代碼以檢查怎樣做才能使它通過篩選程序或編碼找出漏洞。
注意:你在這里看到的靜態(tài)源代碼不能反映JavaScript或AJAX功能所做的任何更改。
搜索微信公眾號:TestingStudio霍格沃茲的干貨都很硬核
在 Html 文件中輸入 html:5 按下回車鍵,可快速生成 HTML5 頁面模板:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
<title>Document</title>
</head>
<body></body>
</html>html:5
在 html 文件中輸入 div#id>ul.list>li.item*5 按下回車鍵,可快速生成父子關(guān)系的結(jié)構(gòu):
<div id="id">
<ul class="list">
<li class="item"></li>
<li class="item"></li>
<li class="item"></li>
<li class="item"></li>
<li class="item"></li>
</ul>
</div>父子關(guān)系構(gòu)建
重復(fù)元素: 使用 * 加上數(shù)字來創(chuàng)建多個相同的標簽。例如,p*3 后按 Tab 會產(chǎn)生三個 <p> 段落標簽。
<p></p>
<p></p>
<p></p><div class="container"></div><div id="main"></div><a href="https://example.com"></a><nav>
<ul>
<li class="item1"><a href="#">item 1</a></li>
<li class="item2"><a href="#">item 2</a></li>
<li class="item3"><a href="#">item 3</a></li>
<li class="item4"><a href="#">item 4</a></li>
</ul>
</nav>個主要的互聯(lián)網(wǎng)瀏覽器都允許用戶查看任何網(wǎng)頁的HTML(超文本標記語言)源代碼。以下部分包含有關(guān)在每個主要瀏覽器中查看源代碼的多種方法的信息。
查看網(wǎng)頁的源代碼時,服務(wù)器處理的信息和代碼不會出現(xiàn)。例如,搜索引擎處理服務(wù)器上的信息,然后在網(wǎng)頁上顯示結(jié)果。換句話說,你可以查看組成結(jié)果頁面的代碼,但不能查看搜索引擎的源代碼。
此規(guī)則適用于所有服務(wù)器端腳本、SSI(服務(wù)器端包含)和編程代碼。因此,你無法查看搜索引擎、論壇、投票、聊天等中使用的腳本源代碼。此外,從源代碼復(fù)制信息可能會導(dǎo)致錯誤,或?qū)⒛阋龑?dǎo)回從中復(fù)制信息的頁面。
要在Google Chrome中查看網(wǎng)頁的源代碼,請使用以下任一方法。
僅查看源代碼
方法一
要僅查看源代碼,請按計算機鍵盤上的鍵盤快捷鍵Ctrl+U。
方法二
右鍵單擊網(wǎng)頁的空白部分,然后從彈出菜單中選擇“查看網(wǎng)頁源代碼”。
查看包含元素的源代碼
1、打開Chrome并導(dǎo)航要查看其源代碼的網(wǎng)頁。
2、單擊瀏覽器窗口右上角的設(shè)置圖標。
3、從下拉菜單中,選擇更多工具,然后選擇開發(fā)者工具。
4、單擊屏幕底部左上角的“元素”選項卡。
提示:在Chrome中,按F12或Ctrl+Shift+I也會打開交互式開發(fā)者工具。該工具提供了與源代碼和CSS設(shè)置的更多交互,允許用戶查看代碼中的更改如何立即影響網(wǎng)頁。
要在Mozilla Firefox中查看網(wǎng)頁的源代碼,請使用以下任一方法。
僅查看源代碼
方法一
要僅查看源代碼,請按計算機鍵盤上的Ctrl+U。
方法二
右鍵單擊網(wǎng)頁的空白部分,然后從彈出菜單中選擇“查看網(wǎng)頁源代碼”。
查看包含元素的源代碼
1、打開Firefox并導(dǎo)航到要查看其源代碼的網(wǎng)頁。
2、單擊屏幕右上角的菜單Firefox菜單圖標。
3、在下拉菜單中選擇“更多工具”,然后從展開的菜單中選擇“Web開發(fā)者工具”。
4、單擊屏幕底部部分左上角的“查看器”選項卡。
提示:在Firefox中,按F12或Ctrl+Shift+I也會打開交互式開發(fā)者工具。該工具提供與源代碼和CSS設(shè)置的交互,允許用戶實時查看代碼中的更改如何影響網(wǎng)頁。
查看網(wǎng)頁源代碼的一部分
1、突出顯示網(wǎng)頁中要查看源代碼的部分。
2、在高亮顯示的部分上單擊鼠標右鍵,然后選擇“查看選中部分源代碼”。
提示:你可以使用Firebug插件查看和編輯頁面的源代碼,并通過瀏覽器實時查看更改。
要在Microsoft Edge中查看網(wǎng)頁的源代碼,請使用以下任一方法。
僅查看源代碼
方法一
要僅查看源代碼,請按計算機鍵盤上的Ctrl+U。
方法二
右鍵單擊網(wǎng)頁的空白部分,然后從彈出菜單中選擇“查看網(wǎng)頁源代碼”。
查看包含元素的源代碼
1、打開Microsoft Edge并導(dǎo)航到要查看其源代碼的網(wǎng)頁。
2、單擊屏幕右上角的設(shè)置圖標。
3、將鼠標移到下拉菜單中的“更多工具”上,然后從展開的菜單中選擇“開發(fā)人員工具”。
4、單擊屏幕右側(cè)窗口頂部的“元素”選項卡。
提示:在Microsoft Edge中,按F12或Ctrl+Shift+I也會顯示交互式開發(fā)人員工具。該工具提供與源代碼和CSS設(shè)置的交互,允許用戶實時查看代碼中的更改如何影響網(wǎng)頁。
要在Microsoft Internet Explorer中查看網(wǎng)頁的源代碼,請使用以下任一方法。
僅查看源代碼
方法一
要僅查看源代碼,請按計算機鍵盤上的Ctrl+U。
方法二
右鍵單擊網(wǎng)頁的空白部分,然后從彈出菜單中選擇“查看源”。
查看包含元素的源代碼
1、打開Internet Explorer并導(dǎo)航到要查看其源代碼的網(wǎng)頁。
2、單擊右上角的工具Internet explorer工具圖標
。
3、從下拉菜單中選擇“F12開發(fā)人員工具”。
4、單擊開發(fā)人員工具菜單左上角的“DOM資源管理器”選項卡。
提示:在Internet Explorer中,按F12鍵將顯示DOM工具。該工具提供與源代碼和CSS設(shè)置的交互,允許用戶查看代碼中的更改如何立即影響網(wǎng)頁。
*請認真填寫需求信息,我們會在24小時內(nèi)與您取得聯(lián)系。
