HTTP協(xié)議（4）瀏覽器的使用之開發(fā)者工具

基本上所有的瀏覽器都支持通過F12按鍵或是“查看元素”功能調(diào)出開發(fā)者工具，這本來是給專業(yè)的Web應用和網(wǎng)站開發(fā)人員使用的工具，但對于Web安全測試同樣也非常重要。
不同類型的瀏覽器所使用的開發(fā)者工具也不盡相同，總體上可以分為Firefox和IE兩大類。比如360瀏覽器，默認情況下的極速模式所使用的是Firefox內(nèi)核，因而按F12調(diào)出的就是Firefox的開發(fā)者工具。如果選擇兼容模式，則使用IE內(nèi)核，F(xiàn)12就是IE的開發(fā)者工具。
對于Firefox瀏覽器，在開發(fā)者工具中最常用到的功能就是“查看器”和“控制臺”。
在“查看器”中可以看到網(wǎng)頁源代碼，而且通過它可以修改網(wǎng)頁上的內(nèi)容，這是由于這部分代碼是在客戶端執(zhí)行并實現(xiàn)相應功能的，屬于Web前端。但是“查看器”只能改變本地瀏覽器上的顯示內(nèi)容，并不能更改服務器端的代碼。
在“控制臺”中可以直接運行調(diào)試某些Javascript代碼。

例題2：BugKu 計算器
http://123.206.87.240:8002/yanzhengma/

點開鏈接之后，讓輸入驗證碼，但是只能輸入一位數(shù)。

接下來就很簡單了，通過Firefox開發(fā)者工具的查看器功能修改文本框長度。

正確輸入驗證碼之后，獲得flag。

例題3：forms
實驗吧：http://ctf5.shiyanbar.com/10/main.php
打開題目中的頁面之后，在文本框中輸入任意值，顯示錯誤信息。

查看頁面源碼，會看到有一個類型為hidden的隱藏文本框，name為showsource。

通過Firefox開發(fā)者工具的查看器功能，將文本框類型改為text，使之在頁面顯示。

在這個文本框中輸入任意值，在頁面上會顯示出一段代碼，可以看出這段代碼正是來判斷用戶輸入的PIN碼是否正確。

將代碼中的PIN碼復制下來提交，獲得flag。

例題4：what a fuck!這是什么鬼東西?
實驗吧 http://ctf5.shiyanbar.com/DUTCTF/1.html
打開網(wǎng)頁之后，是典型的jother編碼。

jother是一種運用在Javascript中的編碼，可以利用少量字符“!、+、(、)、[、]、{、}”就能完成對任意字符串的編碼。
既然是Javascript代碼，那么就可以在開發(fā)者工具的控制臺中運行試試。將網(wǎng)頁內(nèi)容全選，然后復制到控制臺中運行，

出來flag