第6章 攻击WEB服务器 HTML 作为渗透测试人员,对HTML了解得越深入,就能够越好,越快地理解页面的内容. DHTML 动态HTML,它通过支持控制客户端浏览器中WEB页面来对标准的HTML进行了扩展.例如,当我们访问某个网站时,看到这个网站上的网页能够更换图像,弹出对话框,当鼠标指针移到上面去时链接改变颜色等,那么基本上可以肯定,这个网站使用了DHTML.由于DHTML能够增强用户的体验,因此几乎所有的大中型网站都使用了它. XML 经ML用于描述,存储和交换数据,这样,使得各种类型平台上的数据具备了相互理解的能力.在出现XML之前,当两个系统交换数据时,系统或应用程序以只有这两个系统能够理解的格式发送数据,这类数据格式的一个典型示例是以逗号分隔值的文件格式(Comma-Separated Value, CSV). CSV格式的文件采用逗号或Tab字符分隔原始数据.当我们打开一个别人创建的CSV文件时,如果没有人为我们说明这个文件,那么我们就很难理解这个文件中数据的意义.而在XML中,它描述了数据,因此易于被理解.XML格式包含两个部分内容:一部分是包含数据的文档部分;另一部分是描述文档中所存储数据的数据类型的文档类型定义部分. XHTML XHTML是一种为适应XML而重新改造的HTML.是HTML 4.0的后续版本.也是HTML 4.0的重新组织.XHTML就是一种XML应用.它采用XML的DTD文件格式定义,并运行在支持XML的系统上.浏览器制造商不需要再创造新的私有标签,他们只需要在XHTML代码里包含XML代码片段,或者XML代码里包含XHTML代码片段.XHTML的当前版本是1.0.虽然目前使用它的网站还不多,但它是未来的发展趋势.作为渗透测试人员,应该关注XHTML的内容及其发展,从而寻找新的安全漏洞. JavaScript 一种脚本语言,与Java无任何关系.是一种客户端的解释语言.已经成为WEB页面开发者和浏览器厂商运用的客户端脚本编程的标准.这个语言支持在WEB页面上直接与用户交互而无需在客户端和服务器之间交换数据,例如,所有类型烦人的弹出窗口,警告框,评估电子邮件地址有效性的表单或许都是某些编写很好的JavaScript代码的成果.可以这么说,只有想不到的,没有做不到的.JavaScript几乎有无限的能力 我们也可以把JavaScript代码放在一个单独的文件中.这种方法让开发人员能够在多个页面之间共享相同的代码.称为外部JavaScript. JavaScript通常在客户端应用.这样黑客就可以手工修改这些代码.当我们在攻击某个网站,需要发送数据,而网页又阻止我们发送数据时,就可以在本地修改相关的JavaScript代码,从而进一步继续我们的渗透测试. JScript           |
|
|
来自: firefox_zyw > 《待分类1》
