web安全测试之基本观察学习笔记——高亮显示JavaScript和注释

查看源代码有助于发现隐藏的不安全信息以及检查攻击的效果，而对于源代码中开发人员的注释以及javascript的在线动态行为都是我们需要重点关注的，我们可以利用webscarab快速找出嵌入式注释和Javascript。

运行webscarab，利用浏览器访问某网站，查看webscarab捕获的信息，可以从中发现代码中的注释以及Javascript信息。在webscarab中summary选项卡中，访问URL地址右侧，三个复选框分别为Set-Cookie（是否设置了cookie）、Comments（是否包含HTML注释）、Scripts（是否将javascript作为网页的一部分运行），如下图为访问四川大学蓝色星空BBS论坛，webscarab捕获的信息,如下图所示：

 

对于注释或脚本对应的复选框被选中的页面，可以点右键查看详细信息，如下图所示：

 

点show scripts，查看脚本详细信息，弹出详细信息展示窗口，如下图所示：

 

点show comments，查看注释详细信息，弹出详细信息展示窗口，如下图所示：

注释通常会泄露有关web应用内部工作的详细信息，有些甚至包含管理页面引用、开发调试、测试记录信息，我们可以从中发现有用的信息。

最后，感兴趣的同学，可以利用webscarab捕获，查看一些外网系统，是否有重大发现！