jueves, noviembre 02, 2006

Auditando Web 2.0

He estado mirando este artículo que hace referencia a dos extensiones de Firefox que pueden usarse para auditar servicios web basados en AJAX.

La idea es sencilla usar un depurador de Javascript con la potencia suficiente que permita interceptar las llamadas XmlHttpRequest que se utilizan para traer contenidos de manera asíncrona de servidores web 2.0. De esta manera puede verse sencillamente que están haciendo las páginas (como apuntan en los comentarios al artículo, eso también se puede hacer con un tcpdump aunque de existir https se complica la cosa).

Posteriormente podemos trabajar con el código javascript poniendo breakpoints y usando las posibilidades de un debugger como firebug o el debugger de venkman. Antes de leer el artículo estuve mirando los dos debugger para ver las posibilidades a la hora de depurar javascript y modificar los campos. Otra buena utilidad para este tema es web developer toolbar que nos permite ver la estructura de la página, formularios, que código javascript tiene etc.

Para simular el comportamiento de la navegación existen extensiones como chickenfoot. Permite escribir scripts en Javascript para poder manipular los diferentes elementos de la página. Para alterar la navegación siempre puede usarse también el parosproxy, el cual nos permite cambiar todo lo que nos envíe el navegador hacia el servidor - útil para probar si se valida en el cliente pero no se hacen validaciones en el servidor -.

No hay comentarios: