什么是WEB模糊测试

Web浏览器最初只是被设计为浏览Web页以及解析HTML页，现在Web浏览器已经发展成为和瑞士×××的多功能性相等价的计算机设备。现代的Web浏览器可以处理动态HTML页、类型表单、多种脚本语言、Javaapplet、在线共享内容的一种简易方式(RSS)以及FTP连接等多种目标。可以进行许多扩展以及插件的安装，以将Web浏览器转换为一个更加灵活的应用程序。这种灵活性允许象Google这样的公司再次将一些通用的桌面应用程序转向Web应用。但对于终端用户来说不幸的是，在增加功能的同时也增加了***的范围。毋庸置疑，随着越来越多的功能被增加到Web浏览器中，将会有越来越多的漏洞被发现。

我经常发现的一个分母是期望值比期望的还要大"

--GeorgeW.Bush,LosAngeles，2000年9月27日

客户端漏洞很快的成为了关注的焦点，因为它们被***者广泛的利用以进行钓鱼式***、身份的窃取并且创建大量的被恶意代码感染并控制的与Internet相连的计算机网络（botnets）。Web浏览器中的漏洞为这样的***提供了丰富的目标环境，因为在主流浏览器中的一个漏洞将导致数百万人受其影响。客户端***通常要求运用某种形式的社会科学，因为***者必须首先要强制一个潜在的被***者去访问一个恶意的Web页。通常可以通过垃圾邮件或利用在主流Web站点中的一个额外漏洞来帮助实施该过程。再加上Internet上的单个用户通常具有很少的计算机安全方面的知识，因此许多***者将关注的重点转向客户端漏洞也就不足为奇了。

在许多方面，浏览器错误成为最引人注目的漏洞是在2006年。所发现的漏洞影响了所有主流的Web浏览器，包括微软InternetExplorer和MozillaFirefox。缺陷在解析病态的HTML标签、JavaScript、本地图像文件如JPG,GIF和PNG、CSS以及ActiveX控件时被发现。许多被发现的严重的ActiveX漏洞既影响了微软Windows操作系统的默认安装，也影响了第三方的应用程序。另外，还发现了成百个不严重的ActiveX漏洞。尽管安全研究者在过去对ActiveX和COM的审核表现出了一定的兴趣，但在2006年这一兴趣达到了最高程度。存在于大量ActiveX控件中的漏洞的一个重要因素是新的、用户友好的ActiveX控件审核工具的公共可用性。在本章中，我们将讨论如何使用模糊测试来发现Web浏览器漏洞。如果将历史结论作为指导的话，那么还将有大量的浏览器错误被发现。

我们可以看到扫描的过程产生的信息

打开treeview我们回忆树状的形态见到扫描到的路径信息

对于扫描到的信息，我们发现太多了，那么可以对信息导出形成一个专门的文件，以便我们的查看

还可以使用vi编辑器来产看扫描的结果

powerfuzzer工具是一款操作比较简易的站点安全检测工具，只需要在URL出输入目标的域名即可，如果有选择使用代理的可以使用该工具自带的代理功能。

在扫描的过程中产生的进程信息

产看扫描的报告结果