問題

在瀏覽器中瀏覽了網(wǎng)頁之后，下一步就是查看其HTML源代碼。盡管這種方法很簡單，但仍然非常值得去做。查看源代碼有兩項(xiàng)作用；它可以幫助你發(fā)現(xiàn)最明顯的安全問題，但最重要的是，它使你能夠?yàn)閷淼臏y試建立一個(gè)比較基準(zhǔn)。對攻擊失敗之前和之后的源代碼進(jìn)行比較，你就能夠調(diào)整你是輸入，了解到哪些通過了，哪些沒有通過，并再次嘗試。

解決方案

我們推薦使用Firefox，你已經(jīng)在2.1節(jié)中學(xué)會(huì)了它的安裝。首先瀏覽應(yīng)用中你所感興趣的網(wǎng)頁。

右擊，并選擇“查看源文件”或從菜單欄選擇“查看”→ "源文件"。

我們推薦Firefox的主要原因是因?yàn)樗牟噬@示。如圖3-1所示，使用這種顯示方式，HTML標(biāo)簽和屬性都要容易理解得多。相比之下，Internet Explorer在記事本中打開網(wǎng)頁。就會(huì)難讀得多。

討論

作為比較基準(zhǔn)，訪問HTML源代碼會(huì)非常有幫助。最常見的Web漏洞涉及到向Web應(yīng)用提供惡意輸入以修改HTML源代碼。在測試這些漏洞時(shí)，驗(yàn)證測試通過或失敗的最簡單的方法就是檢查源代碼是否被惡意更改。

當(dāng)心一切未經(jīng)更改就寫進(jìn)源代碼中的輸入。我們將在第8章討論輸入驗(yàn)證，然后許多應(yīng)用根本就不對輸入進(jìn)行驗(yàn)證。在開始討論更加復(fù)雜的內(nèi)容之前，不妨在源代碼中搜索你剛剛提供的輸入。然后，使者將可能的危險(xiǎn)值作為輸入，比如HTML標(biāo)簽或JavaScript，并注意它是否未經(jīng)修改就直接顯示在源代碼中。如果是這樣的話，那么這就是個(gè)警示信號。

注意，你可以像搜索任何其他Firefox頁面那樣搜索HTML源代碼（根據(jù)具體情況，使用Ctrl+F或（Windows徽標(biāo)鍵）+F）。

在以后的秘訣和章節(jié)中，我們將使用工具來自動(dòng)搜索、解析和比較源代碼。記住基本要點(diǎn)；通常，可以通過重復(fù)地手動(dòng)檢查源代碼以檢查怎樣做才能使它通過篩選程序或編碼找出漏洞。

注意：你在這里看到的靜態(tài)源代碼不能反映JavaScript或AJAX功能所做的任何更改。