网页源代码抓取工具(如何用web浏览器的内置工具去分析客户端的源码？)

　　网页源代码抓取工具(如何用web浏览器的内置工具去分析客户端的源码？)

　　翻译自：@_bl4de/how-to-perform-the-static-analysis-of-website-source-code-with-the-browser-the-beginners-bug-d674828c8d9a

　　译：聂新明

　　在本手册中，我将展示如何使用 Web 浏览器的内置工具分析客户端源代码。可能会有一些奇怪的声音，浏览器可能不是这个任务的最佳选择，但在你继续之前，让我们打开 Burp Suite 来拦截 http 请求，无论是在这里还是用 alert(1) 继续xss，首先知道你的目标总是一个好主意

　　这个 文章 主要针对对 HTML 和 JavaScript 代码经验很少或没有经验的赏金猎人，但我希望更有经验的黑客能找到一些有趣的东西。

　　在我最近关于基本操作的推文引起了社区的广泛关注之后，我认为是时候写出类似 文章 的东西了。

　　这个简单的想法只是冰山一角，如果我把所有这些技巧都发到推特上，其他人很容易错过它们，所以我决定采集它们并写博客。我希望你们能找到一些有用的东西。

　　好吧，让我们开始吧

　　工具集

　　每个现代浏览器都有内置的开发人员工具，为了启动它们，您可以使用 Ctrl+Shift+I、CMD+Option+I (macOS)、F12 或浏览器右侧的菜单选项 - 这取决于您正在使用操作系统和浏览器。虽然在这个 文章 我使用的是最新版本的 Chromium，但如果你使用 Firefox、Safari、Chrome 或 Edge，它们除了 UI 没有什么不同。你可以选择任何你喜欢的浏览器，但你会发现 Chrome DevTools 是最强大的（Chrome DevTools 或 Lightweight DevTools 兼容 Chrome、Chromium、Brave、Opera 或其他基于 Chromium 的浏览器）

　　您需要安装 IDE（集成开发环境）或任何带有 html 和 JavaScript 代码突出显示的编辑器。这些都是基于你自己的偏好，但我发现 Visual Studio Code 特别有用（顺便说一句，我在所有事情上都使用 VSCode，包括在我的工作中）。您可以使用下面的链接为您的系统下载 VSCode

　　安装 NodeJS 也是一个好主意（如果你经常使用它，你会更加熟悉它——互联网上有成千上万的资源）。更有用的

　　python对我来说也是必备工具（如果你使用基于*NIX的系统，你有机会使用它，它已经安装了。如果你是windows用户，你必须自己手动安装Python）。用 Python 编写代码的能力是无价的，我建议那些从未编写过代码的人尝试一下 Python

　　NodeJS 对于在终端中运行和测试 JavaScript 代码非常有用（您也可以在浏览器中进行，但我们稍后会讨论它们的优缺点）。您可以在 Python 中创建自己的脚本工具来快速验证漏洞并实际利用它——我还将在本文中介绍我自己的工具 文章。如果你解释其他解释型语言（如Ruby、PHP、Perl、Bash等），你也可以使用它们。上述语言的主要优点是无需编译即可运行，也可以直接从命令行执行。它们是 100% 跨平台的，您可以在网络上使用许多库和模块。

　　好的，现在终于想通了

　　查看 HTML 源代码

　　让我们回到我刚刚引用的推文。您可能会注意到，被筛选的网页似乎没有内容，并且似乎只是一个空白页面。

　　但是如果你查看网页的源代码（在 mac 上使用 CTRL+U 或 CMD+Option+U）你会看到很多代码（不幸的是我无法提供那个 网站 的 url在屏幕截图中），因为那是公测项目的私有项目）。为什么这些元素不显示在浏览器中？

　　重要的是有些 HTML 标签在页面中没有显示任何内容，HTML 中有很多这样的标签，我将在这里给出一些基本示例， , , 或