Web黑客工具箱：DOM查看器的使用介绍

根据以往的经验来看，哪种平台越流行，这该平台上的黑客活动就会越活跃，比如Windows系统就是一个活生生的例子。时代在发展，如今Web应用已经成为IT的大趋势，今后在这个平台上活动的黑客将会越来越多。所以，对于web黑客技术的了解已经迫在眉睫，本系列文章旨在抛砖引玉，向读者介绍一些用来窥探日益复杂的Web 应用程序世界内幕的工具和技术，为了解相关技术打下一个坚实的基础。

一、引言

Web安全漏洞的发现和利用是一项繁重而费时的任务。古人云，工欲善其事，必先利其器。为了加快这些缺陷的定位过程，我们需要用到各种各样的工具和技术。本系列文章中，我们将向大家介绍一组工具，供各位作web安全研究的工具箱之用。

实际上，对于一些简单的Web缺陷，只要一个浏览器和一些细心就够了：我们可以在表单中输入一些测试值，然后观察返回的结果，我们就能快速的找到一些简单的缺陷。然而，如果我们使用Web 应用程序扫描器的话，可以为我们省下很多的时间，所以这些工具对于渗透测试而言，是非常有价值的。此外，这些工具所能做的通常不仅仅是定位漏洞，它们能做的事情还很多。本文将向读者介绍用于调试Web应用程序的利器：DOM查看器，它实际上是Firefox的一个扩展。

二、DOM查看器

近几年来，Web 应用程序已经从HTML和服务器端脚本的组合发展成为成熟的的程序，它甚至让一些桌面应用程序自叹不如。作为推动Web 应用程序快速成长的核心技术之一的AJAX，为开发人员创建基于 Web 的文字处理软件、日历、协作系统、桌面和Web窗口部件提供了极大的帮助。然而，随着这些日渐复杂的应用程序程序的流行，各种新的安全缺陷所带来的威胁也随之而来，如XSS安全漏洞等。因此，对强大的Web 应用程序调试器的需要也就摆在了我们的面前。

桌面应用开发人员和安全研究人员早就开始使用各种像IDA Pro、OllyDbg和GDB之类的调试器来研究恶意软件、考察保护方案以及定位二进制软件中的漏洞等；然而，这些调试器却无法用于调查Web 应用程序。虽然Web 应用程序调试器的总体功能是一致的，它们都是用来定位缺陷所在位置的，但是使用的方法却有所不同。Web应用程序调试器所要做的不是去检查汇编代码，而是去管理一组复杂的相互关联的脚本、Web页面和源。

在进行安全审计时，第一步就是要了解HTML结构(DOM)是如何改变的，这就要用到DOM查看器这个Firefox扩展，也是本文要讲解的工具：DOM查看器。这里，我们将向大家介绍如何用它来探索文档对象模型(DOM)，如何按照我们的需要动态修改应用程序