轉(zhuǎn)載自百度貼吧

Firefox是個偉大的瀏覽器，盡管有時它備受詬病。但每個Firefoxer都能感受到這款瀏覽器的優(yōu)秀特質(zhì)，比如高效、安全、跨平臺等。下面我主要說的是它的擴展性，說說我常用的七種擴展，謂之：七種武器。

第一種武器：長生劍 Firebug

Firebug可謂是前端工程師用作測試的神兵利器，熟悉非常。下面主要給一些不太熟悉的狐貍精作下簡介，共同學習。

在擴展搜索界面搜索"Firebug"即可下載安裝Firebug,重啟瀏覽器生效。
我們可以通過按左上角的logo彈出菜單或者直接按F12打開Firebug

打開后，窗口一分為二。上面的是我們正在瀏覽的頁面，下面的就是Firefox的主界面。

可以看到主要有Console、HTML、CSS、Script、DOM、Net這六個標簽菜單。

Console

Console就是所謂的控制臺，里面主要是JavaScript的命令操作與網(wǎng)頁的警告、錯誤信息等。可以看到Console標簽下又分為兩個部分，左邊主要是信息的顯示，右邊主要供用戶調(diào)試JS用。
像我們學習任何計算機語言一樣，寫個Hello World是很有必要的。
在右邊輸入:alert("Hello Firebug!");然后按Run命令，就會彈出一個對話框。

還可以用它的log命令:console.log("Hello World!");把結(jié)果輸出到控制臺，這個在調(diào)試中是很有用的。由于篇幅所限，不深入討論。



Clear:清除log信息。
Persist:保持監(jiān)聽，不被頁面轉(zhuǎn)跳而失去信息。
Profile:性能分析，列出調(diào)用函數(shù)，和所用時間。
Errors:列出頁面錯誤。
Warnings:列出警告信息。

HTML

HTML查看器是個功能強大的HTML查看工具。可以查看頁面的HTML代碼，即時修改數(shù)據(jù)，可視化地檢查頁面中的元素。

以百度首頁演示，點擊那個藍色的箭頭（紅圈內(nèi)），然后點擊百度的logo，就可以看到控制這logo具體的HTML和CSS代碼、屬性。點擊可以即時修改生效也可以在相應的標簽內(nèi)按“Edit”菜單或右鍵菜單“Edit”進行編輯。右邊是相應的CSS，可精確到CSS文件中的行數(shù)。這些都可以即時修改，前端工程師可用于調(diào)試頁面，Firefox的各種開發(fā)者可以用來輔助制作GreaseMonkey JavaScript、Stylish CSS等。


Computed:查看頁面中CSS屬性的默認值。

==========================================================================================================

Layout:CSS的盒模型是讓不少前端工程師頭痛的東西。不過，有了它，就方便了，各種margin、border、padding一目了然。還可以用于測量各種元素的像素。并直接在Layout中修改margin、padding等參數(shù)，即時生效。媽媽再也不用擔心前端工程師面對盒模型而頭痛了。
DOM：簡而言之，就是訪問和操作HTML文檔的標準方法。

HTML查看器對于前端是如此有用，但它不僅能改變已經(jīng)下載好的數(shù)據(jù)，也能更改將要POST的數(shù)據(jù)。如果能改POST的數(shù)據(jù)，那么可以做的事情就太多了。比如，繞過各種前端檢測。修改正常POST的數(shù)據(jù)。攻擊者甚至可以用來構(gòu)造各種XSS跨站腳本攻擊等。

我之前發(fā)的一個XSS盜取貼吧Cookies的案例：http://tieba.baidu.com/p/1620499476
上面的案例只是構(gòu)造url進行反射型的XSS攻擊。但是，攻擊者還可以利用系統(tǒng)漏洞，構(gòu)造各種存儲型的XSS，存儲型的XSS危害極大，隱蔽性極強，防不勝防。

以百度貼吧為例。正常情況下，可以插入視頻，并發(fā)布。但是我們可以通過Firebug修改要POST的數(shù)據(jù)，然后構(gòu)造一個攻擊代碼。然后用戶打開后視頻后，觸發(fā)XSS代碼并受到攻擊，甚至導致帳號被盜。

正常情況下插入視頻后，會生成一段html代碼

只要我們按“發(fā)表”，就會把數(shù)據(jù)POST到百度服務器，而攻擊者可以修改title的內(nèi)容，構(gòu)造XSS代碼。用戶只要播放視頻，觸發(fā)服務端生成的NoAutoVideo方法，XSS就會觸發(fā)。各種跨站腳本攻擊就此誕生。這種是比較傳統(tǒng)的XSS，在這里討論是因為百度之前已經(jīng)在服務端進行了過濾與凈化，所以現(xiàn)在已不具攻擊性。

Flash的安全性一直備受詬病，而現(xiàn)在Flash的大量應用，也帶來很大的隱患。攻擊者很容易利用Flash播放器漏洞進行XSS，像之前我那樣，就是利用"社工"+Flash漏洞進行XSS，成功盜取部分吧友的Cookies。攻擊者可以修改正常的SWF地址，替換成精心構(gòu)造有漏洞的SWF進行XSS。Flash播放器的AllowScriptAccess屬性默認值是允許執(zhí)行本域名的腳本的，之前百度對此意識不足，很容易被利用。攻擊者甚至可以修改為:AllowScriptAccess:always，進行跨站的腳本攻擊。而現(xiàn)在第三方的Flash播放器也越來越多，安全隱患也是難以避免。當然，現(xiàn)在百度已經(jīng)修補了這個bug，所以可以公開討論。

大家可以通過這個鏈接：http://tieba.baidu.com/f/search/res?qw=AllowScriptAccess&sm=2&cf=1看看曾經(jīng)的各種攻擊（攻擊未遂）。

所以有時你看到把視頻大小改為1×1像素然后自動播放的帖子，也就見怪不怪了。我個人是比較反感這種行為的，因為有些人喜歡用來播放一些令人不悅的聲音，所以在這里不作討論，但原理相同。雖然百度已進行一些簡單的過濾修正，但只要進行一些基本的轉(zhuǎn)換就可以繞過過濾。有興趣的童鞋可以試試。

額，有點跑題了。不知不覺也寫了那么多，剩下的那幾個功能，下次有空再寫了。

總結(jié)

以上是生活随笔為你收集整理的Firefox七种武器之firebug的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。