利用Firefox审计Web2.0应用程序安全

核心提示： 您可以将这个脚本装载到Chickenfoot控制台中，并运行它，利用Firefox审计Web2.0应用程序安全(6)，如图5所示，图5 利用Chickenfoot模拟Ajax调用onClick这样，就会看到一个对auth函数的调用，我们现在可以通过Firebug的调试器功能把内部逻辑跟特定的事件

您可以将这个脚本装载到Chickenfoot控制台中，并运行它，如图5所示。

图5　 利用Chickenfoot模拟Ajax调用onClick

这样，我们就可以创建JavaScript并从Firefox浏览器内部来审计基于AJAX的应用程序的安全性了。对于Chickenfoot插件，还有其它几个API调用，其中一个比较有用的就是构建爬虫例程的fetch命令。

六、逻辑发现与应用程序解析

为了剖析客户端基于AJAX的应用程序，需要仔细遍历每一事件以确定其处理逻辑。确定整个逻辑的一种方法就是逐行阅读所有代码。但是通常每个事件调用仅涉及文件中的少数几个函数。因此，我们需要一种技术来步入调试运行在浏览器中的有关代码。

这时，有些强大的JavaScript调试器可以达到这一目的，Firebug便是其中之一。另一个调试器是venkman。在下面的例子中，我们将使用Firebug。

这里给出一个处理登录过程的简单的示例：login.html页面将从最终用户那里接收用户名和口令，如图6所示。使用Firebug的检查功能可以确定此表单的属性。

图6　 借助 Firebug审查表单属性

检查表单属性之后，就会看到一个对auth函数的调用。我们现在可以通过Firebug的调试器功能把内部逻辑跟特定的事件隔离开来了，如图7所示。