我喜欢Web应用，你呢？Web应用绝对是学习安全的最佳途径。为什么？因为它们自成一体且高度透明。

你不需要庞大的实验室环境就能进行实践。只需在笔记本电脑上运行一个轻量级虚拟机甚至更小的Docker镜像即可。只要攻击的是自己的资产，就完全不用担心法律风险。从下载到运行，只需片刻功夫。

说到透明性？自从早期浏览器提供"查看源代码"功能以来，分析Web应用和浏览器内部运作就变得异常简单。每个Web应用都不得不向你提供（客户端）源代码！仔细想想，几乎不存在真正意义上的"黑盒"Web应用渗透测试。

无论如何，Firefox（和Chrome）中的开发者工具可以说是"查看源代码"功能经过25年技术演进后的终极形态。

我们将以渗透测试师的视角深入探讨最新版Firefox的开发者工具：检查并修改DOM（文档对象模型）、截取屏幕截图、查找提取关键数据、在网站源上下文中使用控制台运行JavaScript，甚至可以在调试器中暂停脚本执行当操作过快时…

或许我们会让你相信：完全可以在不离开浏览器的情况下完成Web应用渗透测试的大部分工作。

加入BHIS Discord频道 — https://discord.gg/aHHh3u5
本讲座幻灯片下载地址：https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_HowToDeveloperToolsWebappPentesting.pdf

时间轴标记： 0:00 – 带有"免费工具！“标识的演示开场 0:38 – 回溯技术发展历程 11:00 – 持续学习的重要性 18:01 – 开发者工具的使用路径 24:37 – 独立窗口控制台功能 30:40 – 网络监控标签页详解 36:23 – 存储标签页操作 38:20 – 全面Cookie管理 40:38 – 检查器工具高级功能 45:05 – 调试器实战应用 45:26 – 工具自定义配置 45:36 – 控制台实用技巧