Webcast: Free Tools! How to Use Developer Tools and Javascript in Webapp Pentests

我喜欢Web应用，你呢？Web应用绝对是学习安全的最佳途径。为什么？因为它们自包含且非常透明。

你不需要庞大的实验室就能开始实践。只需在笔记本电脑上运行一个轻量级虚拟机或更小的Docker镜像即可。只要攻击的是自己的环境，就很容易避免麻烦。下载完成后，你就能立即开始。

透明性又如何体现？从早期浏览器的“查看源代码”功能开始，Web应用和浏览器内部运行机制就一目了然。每个Web应用都不得不向你提供（客户端）源代码！仔细想想，几乎不存在真正的“黑盒”Web应用渗透测试……

无论如何，Firefox（和Chrome）的开发者工具就像是“查看源代码”经过25年创意与功能增强后的产物。

我们将以渗透测试者的视角，探索最新版Firefox的开发者工具：检查和修改DOM（文档对象模型）、截图、查找并提取关键数据、在网站源上下文中使用控制台运行JavaScript，甚至在调试器中暂停脚本执行（如果运行过快的话）……

或许我们能让你相信，确实可以在不离开浏览器的情况下完成Web应用渗透测试的大部分工作。

加入BHIS Discord频道 — https://discord.gg/aHHh3u5
本网络研讨会的幻灯片可在此处获取：https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_HowToDeveloperToolsWebappPentesting.pdf

时间轴：
0:00 – 带有“免费工具！”标牌的Shady-White幻灯片展示
0:38 – 回溯机器
11:00 – 持续学习
18:01 – 开发者工具的使用路径
24:37 – 独立于窗口的控制台
30:40 – 网络标签页
36:23 – 存储标签页
38:20 – 所有Cookie
40:38 – 检查器工具
45:05 – 调试器
45:26 – 自定义工具
45:36 – 控制台技巧

相关培训推荐：
我们觉得BB很酷……但可能有点偏袒。何不亲自体验一下，参加他的课程？

现代Web应用渗透测试
提供实时/虚拟和点播形式

其他资源：

• 安全部署IPv6入门：基本Google搜索指南（2020年第1部分：面向互联网的边界）
• 返回顶部

Black Hills Information Security, Inc.
890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008
关于我们 | BHIS集团公司 | 隐私政策 | 联系我们

链接：
站点搜索