image

image

翻譯來自：掣雷小組

成員資訊：

thr0cyte，****Gr33k，****花花，****小丑，****R1ght0us，****7089bAt****，

大多數web滲透測試都是在客戶端進行的，也就是在web瀏覽器中。因此，我們需要配置我們的瀏覽器，使它成為一個對我們有用的工具。在這個“祕籍”中，我們將新增幾個外掛到預設安裝在Kali Linux中的Firefox瀏覽器上。

怎麼做……

Firefox是一個非常靈活的瀏覽器，非常適合用來web滲透測試，並且他預設安裝在Kali Linux中。我們需要稍微定製一下，可以使用以下步驟：

開啟Firefox，進入選單中的附加元件:

image

在搜尋框中，輸入wappalyzer查詢我們將要安裝的第一個外掛:

image

單擊Wappalyzer外掛中的Install安裝。您可能還需要確認安裝。

接下來，我們搜尋FoxyProxy。

點選安裝。

現在搜尋並安裝Cookies Manager+。

搜尋並安裝HackBar。

搜尋並安裝HttpRequester。

搜尋並安裝RESTClient。

搜尋並安裝User-Agent Switcher。

搜尋並安裝Tampermonkey。

搜尋並安裝Tamper Data and Tamper Data Icon Redux.

安裝的擴充套件列表如下圖所示:

image

他們是如何工作的…

到目前為止，我們已在web瀏覽器中安裝了一些工具，但這些工具在滲透測試web應用程式時的功能是什麼呢?安裝的外掛介紹如下：

HackBar:一個非常簡單的外掛，可以幫助我們嘗試不同的輸入值，而無需更改或重寫完整的URL。在手工檢查跨站點指令碼編寫和注入時，我們將經常使用這種方法。它可以使用F9鍵啟用。

cookie Manager+:這個附加元件允許我們檢視和修改瀏覽器從應用程式接收到的cookie的值。

User-Agent Switcher:此外掛允許我們修改使用者代理字串(瀏覽器識別符號)，該字串在傳送到伺服器的所有請求中。應用程式有時使用這個字串顯示或隱藏某些元素，這取決於所使用的瀏覽器和作業系統。

Tamper Data:這個附加元件能夠捕獲瀏覽器傳送給伺服器的任何請求，讓我們有機會在應用程式的表單中引入資料併到達伺服器之前修改資料。Tamper Data Icon Redux只新增一個圖示。

FoxyProxy Standard:一個非常有用的外掛，允許我們使用使用者提供的預設，在一次點選中改變瀏覽器的代理設定。

Wappalyzer:這是一個用來識別網站中使用的平臺和開發工具的工具。這對於提取web伺服器及其使用的軟體非常有用。

HttpRequester:使用這個外掛，可以處理HTTP請求，包括get、post和put方法，並觀察來自伺服器的原始響應。

RESTClient:這基本上是一個像HTTP請求者一樣的請求生成器，但主要關注REST web服務。它包括新增標題、不同的身份驗證模式以及get、post、put和delete方法的選項。

Tampermonkey:這個外掛允許我們在瀏覽器中安裝使用者指令碼，並在載入之前或之後對web頁面內容進行動態更改。從滲透測試的角度來看，這有助於繞過客戶端控制元件和其他客戶端程式碼操作。

其他

其他對web應用程式滲透測試有用的外掛如下:

XSS Me

SQL Inject Me

iMacros

FirePHP

更多精彩內容，關注微信訂閱號“玄魂工作室”（xuanhun521）