翻译来自:掣雷小组
成员信息:
thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,
这个公众号,一定要关注哦,慢慢会跟上面老哥们一起分享很多干货哦~~
标记红色的部分为今日更新内容。
第二章:侦察
介绍
2.1、被动信息收集
2.2、使用Recon-ng收集信息
2.3、使用Nmap扫描和识别应用服务
2.4、识别web应用防火墙
2.5、识别HTTPS加密参数
2.6、使用浏览器自带的开发工具来做基本的分析和修改
2.7、获取和修改cookie
2.8、利用robots.txt
2.6、使用浏览器自带的开发工具来做基本的分析和修改
Firebug是一个浏览器的插件,使用它可以分析网页的内部组件,比如<table>、CSS和<frame>,也可以用它查看当前网页的DOM对象,错误代码和浏览器与服务器之前的交互(请求和响应)信息。
在之前的章节中,我们通过查看HTML源代码的手段发现了隐藏在<input>标签中用来限制文本输入长短的值values,在这个章节中,我们将使用火狐浏览器的Firebug插件或者是OWASP的Mantra,来实现同样的功能。
怎么做…
确保vm_1正常工作的情况下,在你的Kali VM中打开浏览器访问
http://192.168.56.11/WackoPicko:
1. 在网页上右键-审查元素
Tips:还可以使用F12或者Ctrl+Shift+C来打来浏览器的开发者工具
2. 在<form>表单的第一个<input>上有一个type=”hidden”,双击选中hidden标签:
3. 将hidden更改为text或者删除type="hidden"并按下“Enter”;
4. 现在,双击value的参数3000;
5. 将3000改为500000:
6. 现在我们可以在页面上看到一个value为500000的全新的文本输入框,这是因为我们刚才的操作更改了限制文档大小的关键参数。
它是如何工作的…
当网页被浏览器加载后,那么针对它网页元素所做的所有修改都会被即时展现出来,但是一旦刷新当前页面,那么真对元素所做的所有修改都将不复存在,它只会展示服务器穿送过来的原有页面。
开发人员工具可以直接修改展现在浏览器中的任何元素,所以遇到需要修改控件的地方,就可以使用这个工具。
更多…
开发人员工具不仅能够操控标签或者是修改值,它还有很多其他的功能:
DOM Shader Editor Canvas Web Audio Scratchpad