web安全手工測試---瀏覽器使用(實驗原理及思路更重要)
阿新 • • 發佈:2019-01-03
1、火狐瀏覽器禁用JS:開啟火狐--->about:config--->javascript.enabled--->切換成false;
2、兩個例子
3、黑掉網站思路:發現漏洞、驗證漏洞、利用漏洞、獲取許可權
保護網站:發現漏洞、驗證漏洞、思考原理及成因、修復漏洞
4、瀏覽器安全特性及設定:谷歌+火狐+IE(可導致同一個漏洞在不同瀏覽器觸發效果不同,根據測試需要修改瀏覽器預設安全設定)
(1)谷歌:設定--高階--內容設定---JS及彈窗設定(XSS漏洞驗證時使用,為了測試方便)或者針對某一個網站使用快捷按鈕修改JS及彈窗設定。
安全測試常用功能:
1.清除快取 開啟隱身模式(不會記錄瀏覽記錄或cookie資訊)或清除瀏覽歷史記錄
2.檢視網頁原始碼 滑鼠右鍵或view-source+url
3.檢視DOM元素(為了瞭解CSS樣式或JS指令碼對元素的渲染效果,當form表單引數或分析下拉框如何實現時需要定位都沒元素)
4.檢視網路資料包 網路請求資訊 網路響應資訊
(2)火狐:選項--隱私與安全--許可權--彈窗設定(XSS漏洞驗證)
(3)IE:internet選項--安全--自定義級別--啟用/禁用XSS篩選器
5、安全測試常用功能: