利用Firefox审计Web2.0应用程序安全
2009-09-16 00:00:00 来源:WEB开发网核心提示: 在审计Web应用程序时,我们需要探索并找到克服这些障碍的方法,利用Firefox审计Web2.0应用程序安全(3),对于本文来说,我们将使用Firefox作为我们的浏览器,我们就可以浏览前面的页面了,这时就能发现该页面发给服务器的所有XHR对象调用了,并设法利用它的插件来应对上述挑战,四、发现隐
在审计Web应用程序时,我们需要探索并找到克服这些障碍的方法。对于本文来说,我们将使用Firefox作为我们的浏览器,并设法利用它的插件来应对上述挑战。
四、发现隐藏的调用
Web2.0应用程序可以从服务器装载单个页面,也可在构建最终页面时又多次调用XHR对象。这些调用可以从服务器那里异步请求内容或者 JavaScript代码。在这种情况下,我们面临的挑战就是确定所有的XHR调用和从服务器获取的资源。这些信息对于发现所有可能的资源和相应的安全漏洞很有帮助。下面通过一个简单的示例进行说明。
假设我们可以访问一个简单的新闻门户站点来获得当天的商业新闻,该站点位于:
http://example.com/news.aspx
浏览器中的页面截图将类似于图2所示:
图2 一个简单新闻门户页面
对于Web 2.0 应用程序,它们是使用XHR对象对服务器进行Ajax调用。我们可以利用一个工具来找出这些调用,这个工具就是著名的Firebug——它是Firefox浏览器的一个插件,可以用来发现XHR对象调用。
在利用此插件浏览一个页面之前,要确保选中了拦截XHR调用的选项,具体如下图所示:
图3 设置Firebug使其拦截XMLHttpRequest调用
启用拦截XMLHttpRequest调用的选项后,我们就可以浏览前面的页面了,这时就能发现该页面发给服务器的所有XHR对象调用了,具体如图4所示。
更多精彩
赞助商链接