利用Firefox审计Web2.0应用程序安全

核心提示： 图7 使用Firebug进行调试这个页面的所有JavaScript依赖项都可以查看到，然后，利用Firefox审计Web2.0应用程序安全(7)，调用ajaxlib.js和validation.js脚本，这两个脚本可能具有若干函数，运行序列结束时，我们能监视到XHR对象对后端Web服务的调用，我

图7　 使用Firebug进行调试

这个页面的所有JavaScript依赖项都可以查看到。然后，调用ajaxlib.js和validation.js脚本。这两个脚本可能具有若干函数，我们可以通过登录过程用到的一些函数来进行推测。我们可以使用断点来步入调试整个应用程序。设置一个断点后，我们可以输入证书信息，单击“Submit”按钮，并控制执行过程。在我们的例子中，在函数 auth内设置了一个断点，如图8所示。

图8　 利用断点控制执行过程

现在，我们就可以通过单击“step in”按钮来进行步入调试了，如图8所示。JavaScript的控制权转移至另一个位于validation.js文件中的函数userval，如图9所示。

图9　 移动到 vali页面dation.js脚本

上图显示了用于验证用户名字段的正则表达式模式。一旦完成此验证任务，控制权会传递给另一个函数callGetMethod，如图10所示。

图10　 进行Ajax调用

最后，运行序列结束时，我们能监视到XHR对象对后端Web服务的调用，如图11所示。