問題

在瀏覽器中瀏覽了網(wǎng)頁之后，下一步就是查看其HTML源代碼。盡管這種方法很簡單，但仍然非常值得去做。查看源代碼有兩項(xiàng)作用；它可以幫助你發(fā)現(xiàn)最明顯的安全問題，但最重要的是，它使你能夠?yàn)閷淼臏y試建立一個比較基準(zhǔn)。對攻擊失敗之前和之后的源代碼進(jìn)行比較，你就能夠調(diào)整你是輸入，了解到哪些通過了，哪些沒有通過，并再次嘗試。

解決方案

我們推薦使用Firefox，你已經(jīng)在2.1節(jié)中學(xué)會了它的安裝。首先瀏覽應(yīng)用中你所感興趣的網(wǎng)頁。

右擊，并選擇“查看源文件”或從菜單欄選擇“查看”→ "源文件"。

我們推薦Firefox的主要原因是因?yàn)樗牟噬@示。如圖3-1所示，使用這種顯示方式，HTML標(biāo)簽和屬性都要容易理解得多。相比之下，Internet Explorer在記事本中打開網(wǎng)頁。就會難讀得多。

討論

作為比較基準(zhǔn)，訪問HTML源代碼會非常有幫助。最常見的Web漏洞涉及到向Web應(yīng)用提供惡意輸入以修改HTML源代碼。在測試這些漏洞時，驗(yàn)證測試通過或失敗的最簡單的方法就是檢查源代碼是否被惡意更改。

當(dāng)心一切未經(jīng)更改就寫進(jìn)源代碼中的輸入。我們將在第8章討論輸入驗(yàn)證，然后許多應(yīng)用根本就不對輸入進(jìn)行驗(yàn)證。在開始討論更加復(fù)雜的內(nèi)容之前，不妨在源代碼中搜索你剛剛提供的輸入。然后，使者將可能的危險(xiǎn)值作為輸入，比如HTML標(biāo)簽或JavaScript，并注意它是否未經(jīng)修改就直接顯示在源代碼中。如果是這樣的話，那么這就是個警示信號。

注意，你可以像搜索任何其他Firefox頁面那樣搜索HTML源代碼（根據(jù)具體情況，使用Ctrl+F或（Windows徽標(biāo)鍵）+F）。

在以后的秘訣和章節(jié)中，我們將使用工具來自動搜索、解析和比較源代碼。記住基本要點(diǎn)；通常，可以通過重復(fù)地手動檢查源代碼以檢查怎樣做才能使它通過篩選程序或編碼找出漏洞。

注意：你在這里看到的靜態(tài)源代碼不能反映JavaScript或AJAX功能所做的任何更改。