安全测试介绍
不同浏览器安全特性存在差异,可导致一个漏洞在不同浏览器上触发不同效果,这是不同浏览器中存在的兼容问题。
Chrome+Firefox+IE组合
根据测试需要改变浏览器的默认安全测试
如何修改安全设置,常规操作
这里主要是允许JavaScript的操作和允许弹出式窗口,在xss测试的时候,如果弹出式窗口没有打开,xss脚本就可能被拦截
安全测试常用功能
- 清除缓存:
有很多web浏览器都有记住密码的功能,这也就导致用户在访问是就不用每次都输入密码,但是对于开发测试登录界口这来说,这就麻烦了,因为浏览器记录了用户登录的缓存信息,一点击就访问成功了,所以有时候缓存信息影响测试。
清除浏览记录。
隐身模式(无痕窗口):这不会记录缓存信息和操作痕迹,浏览记录和cookie信息。 - 查看网页源代码
鼠标右键->查看网页源代码,或者,在URL中输入veiw-source:网址 - 开发者工具:快捷键F12
- 定位DOM元素:
F12->点击开发者工具栏最左边带箭头小方框->选中页面中一块区域
例如:一个黑客通关小游戏 www.hackthissite.org
登录:账户 ,密码
浏览器插件获取
常用插件介绍:
-
Hackbar:
提供快速构造HTTP请求和及多种编码变换的功能
然而,这个Hackbar在2.1.3版本后是要钱的,各位博友如果有资源可以下载2.1.3的版本来使用,我这里推荐Max Hackbar(免费的),功能界面都差不多。 -
Cookie Quick Manager:
为浏览器提供快速修改,增加,删除Cookie的功能
xss漏洞可以获取cookie当中其他用户凭证信息,这里就可以通过cookie manager的编辑功能将获取的用户凭证信息添加到当前会话当中。
Tips:
通过Hackbar和Cookie Quick Manager 这两个插件,我们就可以构造和伪造常见的大部分请求了。 -
Proxy SwitchyOmega:
用来设置代理,和抓包工具相结合
