我想知道如何渗透测试一个完全用 JavaScript 制作的网站,例如使用 qooxdoo 框架。这些网站不包含对服务器的任何响应 HTML 内容的请求。加载页面时只传输一个 Javascript 文件(这是一个几乎为空的 html 页面,只有指向 javascript 文件的链接),然后页面由加载的 JS 文件设置,没有开发人员编写的任何 HTML 行.
通常,在大多数 Web 应用程序扫描程序(如 Nexpose)中都会有一些爬网/爬网,它们会检查网站的链接和表单,并爬取他们找到的指向同一域的任何链接,并测试在这些链接上找到的任何参数。我认为这些扫描仪不会对纯 JS 页面产生任何影响。
然后还有另一种可能性:代理服务器(如 Burp Suite)捕获发送到服务器的任何流量,并能够检查此请求中找到的任何参数。这可能有助于测试位于网站后面的 API 服务器(例如查找 SQL 注入)。
但是:有什么方法可以测试客户端,例如 XSS(自身或存储)?或更笼统地说:在这样一个纯 JS Web 应用程序中,您通常需要检查哪些类型的攻击?什么工具可以帮助解决这个问题?