软件测试 | 查看网页的 HTML 源代码
问题
在浏览器中浏览了网页之后,下一步就是查看其 HTML 源代码。尽管这种方法很简单,但仍然非常值得去做。查看源代码有两项作用;它可以帮助你发现最明显的安全问题,但最重要的是,它使你能够为将来的测试建立一个比较基准。对攻击失败之前和之后的源代码进行比较,你就能够调整你是输入,了解到哪些通过了,哪些没有通过,并再次尝试。
解决方案
我们推荐使用 Firefox,你已经在 2.1 节中学会了它的安装。首先浏览应用中你所感兴趣的网页。
右击,并选择“查看源文件”或从菜单栏选择“查看”→ "源文件"。
我们推荐 Firefox 的主要原因是因为它的彩色显示。如图 3-1 所示,使用这种显示方式,HTML 标签和属性都要容易理解得多。相比之下,Internet Explorer 在记事本中打开网页。就会难读得多。
讨论
作为比较基准,访问 HTML 源代码会非常有帮助。最常见的 Web 漏洞涉及到向 Web 应用提供恶意输入以修改 HTML 源代码。在测试这些漏洞时,验证测试通过或失败的最简单的方法就是检查源代码是否被恶意更改。
当心一切未经更改就写进源代码中的输入。我们将在第 8 章讨论输入验证,然后许多应用根本就不对输入进行验证。在开始讨论更加复杂的内容之前,不妨在源代码中搜索你刚刚提供的输入。然后,使者将可能的危险值作为输入,比如 HTML 标签或 JavaScript,并注意它是否未经修改就直接显示在源代码中。如果是这样的话,那么这就是个警示信号。
注意,你可以像搜索任何其他 Firefox 页面那样搜索 HTML 源代码(根据具体情况,使用 Ctrl+F 或(Windows 徽标键)+F)。
在以后的秘诀和章节中,我们将使用工具来自动搜索、解析和比较源代码。记住基本要点;通常,可以通过重复地手动检查源代码以检查怎样做才能使它通过筛选程序或编码找出漏洞。
注意:你在这里看到的静态源代码不能反映 JavaScript 或 AJAX 功能所做的任何更改。
评论