一:Firefox插件(抓包与各种调试)
Firebug是Firefox浏览器的一个扩站插件,可以动态修改html代码、探索DOM结构、监视网络请求和相应、调试和检测页面的CSS、HTML和JS等。
- 安装城成功后按F12启动Firebug
打开Firebug后,看到六个主要标签按钮(控制台、HTML查看器、CSS查看器、脚本调试器、DOM查看器、网络状况监视器)
- 控制台
控制台能够显示当前页面中的JavaScript错误及警告,并提示出错误的文件和行号,使用控制台可以测试一段代码或者函数的执行时间。
启用控制台,在窗口的底部能看到命令行输入,以“>>>”开头,输入JavaScript代码后回车执行。
输入多行大面积代码点击>>>行最右侧的 按钮运行命令行编辑器。 - 动态修改HTML元素
Frebug可以显示脚本输出的最终源代码,而html查看器只能显示页面本身的源代码。
单击查看页面元素按钮(圈左1),当光标停留在某个元素上市,浏览器会高亮显示对应元素,可以对页面文本节点进行修改,其修改结果马上回反映到浏览器窗口(圈2,3)
- 查看网络状况
将标签切换到网络,Friebug会记录该请求的GET或POST内容,以及回应的头信息和内容。可以以矩状图显示CSS ,JS,及网页图片的载入时间。通过右键菜单可以复制文件地址、HTTP请求信息,和响应头信息。 - DOM查看器
DOM包含了大量的对象以及函数,事件,通过使用Firebug可以检查当前打开程序的各个部分
(只打开了百度首页,为什么会出来这么多东西,待查证后补充(>﹏<) )
二.Tamper Data(拦截修改)
- 安装成功后,在Firefox的工具菜单中打开,随后在浏览网页时发出的HTTP请求及其对应的响应都会被记录下来
- 界面组成:
第一部分:(上方)HTTP请求概要信息
第二部分:(左下方)显示出对应的HTTP请求的头部信息
第三部分:(右下方)显示出对应的HTTP响应 - Graph all按钮可以以图形的方式显示每个页面元素及其打开时间
- Start Tamper(右上圈)开启后会截取浏览器发出的每一个请求,单击超链接会弹出对话框,单击Tamper会弹出新窗口可随意修改或添加合法的HTTP请求头部字段或POST参数
三.Live HTTP Headers(重放功能)
- 下载地址:http://livehttpheaders.mozdev.org 进入后点击"Installation"选择版本后下载
- 在工具菜单打开
- 窗口底部有一个“capture”复选框,选中后可以使LIVE HTTP Headers 停止向下滚动,以便对已经产生的通信流量进行分析
- 在主窗口选择其中一段请求,然后单击窗口底部的“Replay”按钮会弹出窗口,可对请求进行各种修改,修改后再次单击“replay”可重放请求
四、Hackbar(编码解码/POST提交)
一个包含黑客常用工具的工具包,安装后按F9启动,具体使用不太会,待补充。
五、Modify Headers(修改头部)
没学会修改头部,倒是学会了用它代理上手机WAP.
- 下载后在工具栏中的web开发者侧栏中打开
- 单击Select action栏选择Modify
- 在第一栏填头部名称,第二栏填头部值,第三行应该填的是描述信息
- 填好之后点击Start就可以了
想了一下这个软件应该可以添加多个自定义的HTTP头部字段,分为三个动作Add,Modify,Filter。这三个作应该具有不同的优先级,应该是可以使用修改后的多个head访问目标网站提高效率,应该可以和SQL注入结合使用。
参考书籍《XSS跨站脚本攻击剖析与防御》