安全性試験の紹介
ブラウザごとにセキュリティ機能が異なるため、脆弱性によってブラウザごとに異なる効果が引き起こされる可能性があります。これは、ブラウザごとの互換性の問題です。
Chrome + Firefox + IEの組み合わせ
テストのニーズに応じてブラウザのデフォルトのセキュリティテストを変更する
セキュリティ設定を変更する方法、通常の操作
これは主にJavaScriptの操作を許可し、ポップアップウィンドウを許可するためです。xssテスト中に、ポップアップウィンドウが開いていない場合、xssスクリプトが傍受される可能性があります
安全試験の共通機能
- キャッシュをクリアする:
多くのWebブラウザーにはパスワードを記憶する機能があり、ユーザーがアクセスするたびにパスワードを入力する必要はありませんが、ログインインターフェイスの開発とテストでは、閲覧が面倒なのでデバイスはユーザーのログインのキャッシュ情報を記録し、ワンクリックでアクセスが成功するため、キャッシュ情報がテストに影響を与えることがあります。
閲覧履歴を消去します。
シークレットモード(シークレットウィンドウ):キャッシュ情報と操作トレース、閲覧履歴、Cookie情報は記録されません。 - Webページのソースコードを表示
マウスの右ボタン-> Webページのソースコードを表示、またはURLにveiw-sourceを入力:URL - 開発者ツール:ショートカットキーF12
- DOM要素を見つけます:
F12->開発者ツールバーの左側にある小さな矢印ボックスをクリックします->ページ上の領域を選択します
例:ハッカークリアランスゲームwww.hackthissite.org
ログイン:アカウント、パスワード
ブラウザプラグインの取得
一般的に使用されるプラグインの紹介:
-
Hackbar:
HTTPリクエストとさまざまなエンコーディング変換をすばやく構築する機能を提供します。
ただし、このHackbarはバージョン2.1.3以降は高額です。リソースがある場合は、バージョン2.1.3をダウンロードして使用できます。ここでMaxをお勧めしますハックバー(無料)、機能的なインターフェースはほとんど同じです。 -
Cookieクイックマネージャー:
ブラウザーでCookie をすばやく変更、追加、および削除する機能を提供します
。xssの脆弱性により、Cookie内の他のユーザー資格情報を取得できます。ここで、取得したユーザー資格情報は、Cookieマネージャーの編集機能を通じて現在のセッションに追加できます。
ヒント:
2つのプラグインHackbarとCookie Quick Managerを使用して、一般的なリクエストのほとんどを作成および偽造できます。 -
プロキシSwitchyOmega:
パケットキャプチャツールと組み合わせてプロキシを設定するために使用