Web2.0客户端组件漏洞扫描(一)
2007-07-10 13:04:41 来源:WEB开发网核心提示: 五、扫描客户端应用(News Feeds)这部分,我们介绍手动扫描的过程,Web2.0客户端组件漏洞扫描(一)(4),这种方法可以进行自动化,但是考虑到应用的复杂性,用来从服务器获得RSS feeds并处理他们,(2)文件XMLHTTPReq.jsfile包含函数makeGET()和mak
五、扫描客户端应用(News Feeds)
这部分,我们介绍手动扫描的过程。这种方法可以进行自动化,但是考虑到应用的复杂性,枚举所有的可能组合是很困难的。如图2所示,我们的示例站点提供RSS feeds的配置。下面开始对客户端组件的扫描。
图2. RSS feed配置
1.扫描库函数指纹
当WEB页面下载到用户浏览器后,所有的Java Scripts通过查看HTML源,都可以查找到。示例页面的Java Scripts脚本信息如图3所示。
图3. 应用页面的JavaScript
如果使用Firefox浏览器,安装“Web Developer”插件后,还可以查看到所有脚本的源码,具体如图4所示。
图 4. 所有JavaScripts脚本源码
通过扫描这些Java Scripts脚本可以得到以下信息:
AJAX的一个开发包文件dojo.js正在被使用。当提取指纹时,文件名成为重要的线索,通过进一步扫描内容,可以确定使用的版本。RSS feed应用所使用的函数及其所在文件也会和浏览器建立映射,本例中这些函数及其所在的文件如下:
(1)文件rss_xml_parser.js包含的函数processRSS() 和GetRSS(),用来从服务器获得RSS feeds并处理他们。
(2)文件XMLHTTPReq.jsfile包含函数makeGET()和makePOST(),用来处理AJAX请求。
- ››web安全之信息刺探防范1
- ››webqq 最新加密算法
- ››webdriver 数据库验证方法
- ››客户端:Lync 2011 for Mac体验
- ››WebSphere Application Server 7.0 XML Feature P...
- ››Web2.0网络时代基于社会影响力的声望值
- ››Web服务器搭建:配置Linux+Apache+Mysql+PHP(或Pe...
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
- ››Web.config配置文件
- ››WebBrowser组件的execWB方法——Delphi控制浏览器...
- ››Web前端设计模式--制作漂亮的弹出层
更多精彩
赞助商链接