使用 Firefox攻击Web2.0应用(二)

核心提示： 上面的代码执行后，发送一个HTTP Get请求，使用 Firefox攻击Web2.0应用(二)(4)，访问服务器上的资源hi.html，可否使用自动化机制仿真这个点击链接的操作呢？Firefox插件Chickenfoot为我们实现了这个功能，图5使用Chickenfoot仿真onclick

上面的代码执行后，发送一个HTTP Get请求，访问服务器上的资源hi.html。

可否使用自动化机制仿真这个点击链接的操作呢？Firefox插件Chickenfoot为我们实现了这个功能，它提供了基于JavaScript的API，扩展了浏览器的可编程接口。

使用Chickenfoot这款插件，可以自己编写简单的JavaScript代码来使得浏览器的行为自动化。使用这种方法，像爬虫抓取网页这样简单的任务就可以自动完成了。例如下面的示例代码，可以模拟点击事件把网页上所有连接都点击一遍。这款插件与传统的网络爬虫相比，优势显而易见：所有这些onClick事件都会产生一个XHR调用，而这些响应会被传统的网络爬虫忽略，传统的爬虫只能试图去分析JavaScript代码，搜集可能的链接，但这并不能取代实际onClick事件的响应。

l=find('link')
for(i=0;i<l.count;i++){　　
a = document.links[i];
test = a.onclick;
if(!(test== null)){
　　var e = document.createEvent('MouseEvents');
　　e.initMouseEvent('click',true,true,document.defaultView,1,0,0,0,
　　　　　　　　0,false,false,false,false,0,null);
　　a.dispatchEvent(e);　　
　　}
}

读者可以把这段脚本加载到Chickenfoot控制台，然后运行。结果如图5所示。

图5　使用Chickenfoot仿真onclick事件

这种方法，可以创建JavaScript脚本，在Firefox浏览器内部评估基于Ajax的Web应用的安全性。