连载：使用 Firefox攻击Web2.0应用(三)

3.3调用逻辑的发现

为了剖析客户端上基于Ajax的Web应用，我们需要仔细浏览每个事件，去判断它们的处理逻辑。一种分析处理逻辑的方式是逐行阅读源代码。通常，每个事件调用只处理几个函数。因此，需要使用一种技术，能够在浏览器中单步执行相关的代码。

目前已经开发出有几款JavaScript的调试器，可以达到以上要求，Firebug就是其中之一。在我们的例子里再次使用Firebug来进行单步执行。

让我们以登录过程为例进行说明，页面login.html从浏览器用户那里接收用户名和密码，如图6所示。使用Firebug的“Inspect”功能去确定每个表单的属性。

图6的例子中，检查表单的属性后，可以清楚的发现一个调用发生在auth()函数中。切换到“Debugger”面板，如图7所示，可以看到这个事件所对应的内部逻辑。