利用Firefox审计Web2.0应用程序安全
2009-09-16 00:00:00 来源:WEB开发网核心提示: 图7 使用Firebug进行调试这个页面的所有JavaScript依赖项都可以查看到,然后,利用Firefox审计Web2.0应用程序安全(7),调用ajaxlib.js和validation.js脚本,这两个脚本可能具有若干函数,运行序列结束时,我们能监视到XHR对象对后端Web服务的调用,我
图7 使用Firebug进行调试
这个页面的所有JavaScript依赖项都可以查看到。然后,调用ajaxlib.js和validation.js脚本。这两个脚本可能具有若干函数,我们可以通过登录过程用到的一些函数来进行推测。我们可以使用断点来步入调试整个应用程序。设置一个断点后,我们可以输入证书信息,单击“Submit”按钮,并控制执行过程。在我们的例子中,在函数 auth内设置了一个断点,如图8所示。
图8 利用断点控制执行过程
现在,我们就可以通过单击“step in”按钮来进行步入调试了,如图8所示。JavaScript的控制权转移至另一个位于validation.js文件中的函数userval,如图9所示。
图9 移动到 vali页面dation.js脚本
上图显示了用于验证用户名字段的正则表达式模式。一旦完成此验证任务,控制权会传递给另一个函数callGetMethod,如图10所示。
图10 进行Ajax调用
最后,运行序列结束时,我们能监视到XHR对象对后端Web服务的调用,如图11所示。
更多精彩
赞助商链接