精通JavaScript攻击框架：AttackAPI（上）

核心提示：多年来客户端安全一直未引起人们的足够重视，但是如今情况发生了急剧转变，精通JavaScript攻击框架：AttackAPI（上），客户端安全已经成为信息安全领域的焦点之一，Web恶意软件、AJAX蠕虫、浏览历史暴破、登录检测、傀儡控制技术网络端口扫描以及浏览器劫持等各种技术只是安全研究人员地下实验室的部分技术，然后搭设

多年来客户端安全一直未引起人们的足够重视，但是如今情况发生了急剧转变，客户端安全已经成为信息安全领域的焦点之一。Web恶意软件、AJAX蠕虫、浏览历史暴破、登录检测、傀儡控制技术网络端口扫描以及浏览器劫持等各种技术只是安全研究人员地下实验室的部分技术，但是已经带来了非常大的影响。

一种类型的安全专业浮现并变成主流利用机制时，供应厂商和个人就会开始发行框架和自动工具，来处理工具和测试过程。虽然供应厂商最初主要将精力放在AJAX审计工具方面，但是安全研究人员更关注的是连绵的系统边界，以探索事实真相。

由于存在多种可能的攻击矢量，Web应用程序安全社区也建立了多个框架来探测、利用安全漏洞，从而揭示Web 开发社区所面临的种种问题。而本文将向大家介绍AttackAPI的详细使用方法。

一、AttackAPI概述

AttackAPI是一个基于Web的攻击构造库，它可以结合PHP、JavaScript及其他客户端和服务器端技术进行使用。AttackAPI有几十个不同功能的模块组成，这些模块既可以从浏览器使用，也可以从JavaScript解释器执行，例如 Mozilla Rhino。它的目标是为实现漏洞利用而提供一个简单易用的接口，主要用于测试和验证之用。

在开始研究AttackAPI子程序之前，我们先来做一些准备工作。首先，下载该库，然后搭设一个测试环境，我们将在这个环境中开发大部分示例程序。为此，我们需要安装、运行以下应用程序：

支持PHP 4.x或者更新的版本的HTTP服务器（Apache+PHP或者AppServ）

www.apache.org/

www.php.net/

www.appservnetwork.com/

从GNUCITIZEN下载最新的AttackAPI

www.gnucitizen.org/projects/attackapi

Mozilla的网络浏览器Firefox