翻译来自:掣雷小组
成员信息:
thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,
这个公众号,一定要关注哦,慢慢会跟上面老哥们一起分享很多干货哦~~
第二章:侦察
介绍
2.1、被动信息收集
2.2、使用Recon-ng收集信息
2.3、使用Nmap扫描和识别应用服务
2.4、识别web应用防火墙
2.5、识别HTTPS加密参数
2.6、使用浏览器自带的开发工具来做基本的分析和修改
2.7、获取和修改cookie
2.8、利用robots.txt
2.6、使用浏览器自带的开发工具来做基本的分析和修改
Firebug是一个浏览器的插件,使用它可以分析网页的内部组件,比如<table>、CSS和<frame>,也可以用它查看当前网页的DOM对象,错误代码和浏览器与服务器之前的交互(请求和响应)信息。
在之前的章节中,我们通过查看HTML源代码的手段发现了隐藏在<input>标签中用来限制文本输入长短的值values,在这个章节中,我们将使用火狐浏览器的Firebug插件或者是OWASP的Mantra,来实现同样的功能。
怎么做…
确保vm_1正常工作的情况下,在你的Kali VM中打开浏览器访问
http://192.168.56.11/WackoPicko:
1. 在网页上右键-审查元素
Tips:还可以使用F12或者Ctrl+Shift+C来打来浏览器的开发者工具
2. 在<form>表单的第一个<input>上有一个type=”hidden”,双击选中hidden标签:
3. 将hidden更改为text或者删除type="hidden"并按下“Enter”;
4. 现在,双击value的参数3000;
5. 将3000改为500000:
6. 现在我们可以在页面上看到一个value为500000的全新的文本输入框,这是因为我们刚才的操作更改了限制文档大小的关键参数。
它是如何工作的…
当网页被浏览器加载后,那么针对它网页元素所做的所有修改都会被即时展现出来,但是一旦刷新当前页面,那么真对元素所做的所有修改都将不复存在,它只会展示服务器穿送过来的原有页面。
开发人员工具可以直接修改展现在浏览器中的任何元素,所以遇到需要修改控件的地方,就可以使用这个工具。
更多…
开发人员工具不仅能够操控标签或者是修改值,它还有很多其他的功能:
Inspector选项是我们刚才用过的,它能够将HTML源代码以层级的方式展现出来,从而方便我们直观地修改网页的内容。
Console选项可以展示当前网页的错误信息,警告信息和页面加载时产生的其他一些相关信息。
Debugger中可以看到当前页面的所有源代码信息,可以在某处设置断点,并且能在脚本运行的过程中查看变量的相关变化。
Style Editor选项可以查看和修改当前页面的CSS样式;
Performance选项可以查看当前页面静态资源和动态资源的加载时间以及其他的信息,对开发人员来说,这个功能对于检测客户端代码运行性能有着至关重要的作用。
Memory用来获取进程内存的快照,在快照中可以查看到存储在内存中的敏感信息。
Network将服务器的请求和响应的相关值,如类型、大小、响应时间和顺序以时间轴的方式展现出来。
Storage中存储了Cookie和其他的客户端相关凭证,并且它们很轻易地就可以被更改或者删除。
还有其他可以使用的选项有:
DOM
Shader Editor
Canvas
Web Audio
Scratchpad
