利用Firefox审计Web2.0应用程序安全

在审计Web应用程序时，我们需要探索并找到克服这些障碍的方法。对于本文来说，我们将使用Firefox作为我们的浏览器，并设法利用它的插件来应对上述挑战。

四、发现隐藏的调用

Web2.0应用程序可以从服务器装载单个页面，也可在构建最终页面时又多次调用XHR对象。这些调用可以从服务器那里异步请求内容或者 JavaScript代码。在这种情况下，我们面临的挑战就是确定所有的XHR调用和从服务器获取的资源。这些信息对于发现所有可能的资源和相应的安全漏洞很有帮助。下面通过一个简单的示例进行说明。

假设我们可以访问一个简单的新闻门户站点来获得当天的商业新闻，该站点位于：

http://example.com/news.aspx

浏览器中的页面截图将类似于图2所示：

图2　 一个简单新闻门户页面

对于Web 2.0 应用程序，它们是使用XHR对象对服务器进行Ajax调用。我们可以利用一个工具来找出这些调用，这个工具就是著名的Firebug——它是Firefox浏览器的一个插件，可以用来发现XHR对象调用。

在利用此插件浏览一个页面之前，要确保选中了拦截XHR调用的选项，具体如下图所示：

图3　 设置Firebug使其拦截XMLHttpRequest调用

启用拦截XMLHttpRequest调用的选项后，我们就可以浏览前面的页面了，这时就能发现该页面发给服务器的所有XHR对象调用了，具体如图4所示。