深入查看網(wǎng)站源碼坡倔,有助于我們了解程序編碼邏輯衔肢,探測明顯的漏洞庄岖,還可以用來作為測試過程中的代碼變化的對照參考。
這篇文章角骤,我們來看一個(gè)網(wǎng)站的源碼隅忿,并進(jìn)行相應(yīng)的剖析。
實(shí)施步驟
首先邦尊,打開我們的漏洞靶機(jī):Vulnerable_VM 【配置參見:測試環(huán)境搭建】
然后打開瀏覽器背桐,訪問靶機(jī)的 Web 服務(wù):http://192.168.150.143
選擇 WackoPicko 應(yīng)用:
WackoPicko
右擊選擇 View Page Source:
View Page Source
一個(gè)包含上面頁面源碼的頁面就會(huì)打開:
網(wǎng)頁源碼
通過查看源碼,我們知道改網(wǎng)頁引用了哪些庫文件或其他外部文件蝉揍。比如下圖中的隱藏 input 標(biāo)簽链峭,這個(gè)標(biāo)簽中的的 name 屬性是 MAX_FILE_SIZE,它的值限定了我們可以上傳文件的大小疑苫。如果我們修改這個(gè)值熏版,我們可能可以上傳比預(yù)期更大的文件纷责,進(jìn)而可能引發(fā)安全問題。
Paste_Image.png
有些應(yīng)用還包含輸入校驗(yàn)撼短,代碼編寫再膳,計(jì)算等功能,這些功能大多是通過JavaScript或者其他腳本實(shí)現(xiàn)的曲横,這些腳本在瀏覽器里執(zhí)行喂柒,因此我們可以通過源碼來了解并找到漏洞。比如繞過輸入校驗(yàn)功能禾嫉,直接向后臺(tái)發(fā)送非法數(shù)據(jù)灾杰。
