Webcast: Free Tools! How to Use Developer Tools and Javascript in Webapp Pentests

我喜欢Web应用程序，你呢？Web应用程序绝对是学习安全的最佳途径。为什么？因为它们自成一体且高度透明。你不需要庞大的实验环境就能进行实践，只需在笔记本电脑上用一个小型VM甚至更小的Docker镜像即可运行。只要攻击的是自己的资产，就很容易避免麻烦——单个下载完成时环境就已就绪。

透明性体现在哪里？从早期浏览器的"查看源代码"功能开始，人们就能轻松看清Web应用程序和浏览器内的运行机制。每个Web应用都不得不向你提供（客户端）源代码！仔细想想，几乎不存在真正的"黑盒"Web应用渗透测试……

无论如何，Firefox和Chrome中的开发者工具正是"查看源代码"经过25年创造力与功能强化后的成果。

我们将以渗透测试视角观察最新版Firefox的开发者工具：检查并修改DOM（文档对象模型）、截取屏幕截图、查找提取关键数据、在网站源上下文环境中使用控制台运行JavaScript，甚至在执行过快时通过调试器暂停脚本执行……

或许我们会让你相信：完全可以在不离开浏览器的情况下完成Web应用渗透测试的大部分工作。

加入BHIS Discord频道：https://discord.gg/aHHh3u5
本次网络研讨会幻灯片下载：https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_HowToDeveloperToolsWebappPentesting.pdf

时间轴导航：

• 0:00 – 标有"免费工具！“的炫酷幻灯片开场
• 0:38 – 回溯历史机器
• 11:00 – 持续学习之道
• 18:01 – 开发者工具入口路径
• 24:37 – 独立窗口控制台
• 30:40 – 网络标签页分析
• 36:23 – 存储标签页功能
• 38:20 – 全面Cookie管理
• 40:38 – 检查器工具详解
• 45:05 – 调试器应用
• 45:26 – 工具自定义配置
• 45:36 – 控制台实用技巧

现代Web应用渗透测试课程可通过直播/虚拟方式及点播形式获取