浏览器中浏览网页,查看网页的源代码,是测试中很简单的,很基本的方法,也是非常值得做的。查看源代码最基本的两项作用:可以帮助你发现最明显的安全问题,可以帮助为将来的测试建立一个比较的基准。也可以帮忙你对比攻击失败前后的源代码,调整你的输入,了解到通过的和没有通过,可以再次的尝试。
作为比较基准,查看HTML源代码是非常有帮助的。最常见的Web漏洞涉及到向Web应用提供恶意输入以修改HTML源代码。测试这些漏洞时,验证测试是否通过最简单的方法就是检测源代码是否被恶意更改。可以在源代码中搜索刚刚提供的输入,将其修改为可能的危险值作为输入,并关注它是否未经修改就直接显示在源代码中。如果是这样的话,那么这就是个警示信号。