精通JavaScript攻击框架:AttackAPI(上)
2009-02-13 13:55:19 来源:WEB开发网如您所见,这里的代码跟之前的非常相似,当然也有不同之处,首先我们确信所有数据都存储为String对象。 数组项是连续的、用逗号隔离的列表,可以利用统一资源定位符(URL)查询来导出各个对象。您可以很轻松地利用$A.buildQuery 函数来构造查询。函数调用$A.buildQuery({name: ‘Fred’, lastName: ‘Johnson’});会导致name=Fred&lastName=Johnson。
回到我们的客户端调查代码,您可以很轻松地测试传送机制。只需把NetCat设置成监听状态,如下所示。利用下列命令,我们将打开端口8888,并将信息输出等级设为较大值,即输出更为详细的信息:
nc -l -p 8888 -vvv
您一旦在Firebug控制台执行了这些JavaScript代码,将会看到所有到达NetCat的数据都变成一个长长的URL编码的字符串。当然,您可以使用任何类型的编码(例如 Base64或者JSON),因为URL编码是默认支持的,所以使用它的时候无需作任何变更。
三、小结
多年来客户端安全一直未引起人们的足够重视,但是如今情况发生了急剧转变,客户端安全已经成为信息安全领域的焦点之一。Web恶意软件、AJAX蠕虫、浏览历史暴破、登录检测、傀儡控制技术网络端口扫描以及浏览器劫持等各种技术只是安全研究人员地下实验室的部分技术,但是已经带来了非常大的影响。
一种类型的安全专业浮现并变成主流利用机制时,供应厂商和个人就会开始发行框架和自动工具,来处理工具和测试过程。虽然供应厂商最初主要将精力放在AJAX审计工具方面,但是安全研究人员更关注的是连绵的系统边界,以探索事实真相。
由于存在多种可能的攻击矢量,Web应用程序安全社区也建立了多个框架来探测、利用安全漏洞,从而揭示Web 开发社区所面临的种种问题。而本文将向大家介绍AttackAPI测试环境的搭设以及客户端踩点的方法进行了详尽的介绍,下一篇我们将对AttackAPI的其他用法做详尽的介绍。
Tags:精通 JavaScript 攻击
编辑录入:爽爽 [复制链接] [打 印]更多精彩
赞助商链接