户外物理渗透：终端机，客户端的web测试思路

现在的客户端界面越做越好看了，很多用到了web技术，轻便、界面炫、更新快，但是这样web的缺点也就出来了，就是不稳定，容易受用户等因素影响。

因为很多客户端web是内嵌的，内部通信，所以很多对安全的考虑就很少，漏洞亦较多。在此，我想跟大家分享一下客户端的web测试思路，让大家找到更多的高质量漏洞。

首先打开一个客户端界面，如腾讯的群介绍界面。

方法一：测试F5键。大家都知道F5是刷新键，按f5测试界面是否全部或部分刷新，如果刷新，很大的可能就是嵌入的web。

方法二：测试右键。网页自己特有的右键，如果出现，则可判定是web。

方法三：测试拖曳。可以点一个图片或一段文字到某个位置，如桌面，浏览器址栏等，如果能拖曳成功，很大可能是web。拖曳操作在测试触屏客户端时最有效。如ATM机、机票终端等。如中国银行XTM

方法四：测试Ctrl+A。如果能全选，那就再Ctrl+C。之后打开一个富文本编辑器，如在线编辑器，如http://kindeditor.net/demo.php，然后Ctrl+V，再在源码模式查看即可。

方法五：打开burpsuit，直接测试。这个是最准确。得到了地址，就是常规web了，同时可以发现很多内部接口。

因该说上面的五种方法是自己一次次在实践中总结到的，现在看来很简单，但当你发现一种新方法时，总会有一批漏网之鱼向你游来，收获之喜只有自己知道。

求更多思路。QQ：1258496116