18個擴充套件讓你的Firefox成為滲透測試工具

科技探索者發表於2017-11-22

Firefox是一個出自Mozilla組織的流行的web瀏覽器。Firefox的流行並不僅僅是因為它是一個好的瀏覽器,而是因為它能夠支援外掛進而加強它自身的功能。Mozilla有一個外掛站點,在那裡面有成千上萬的,非常有用的,不同種類的外掛。一些外掛對於滲透測試人員和安全分析人員來說是相當有用的。這些滲透測試外掛幫助我們執行不同型別的攻擊,並能直接從瀏覽器中更改請求頭部。對於滲透測試中涉及到的相關工作,使用外掛方式可以減少我們對獨立工具的使用。

在這篇簡明的文章中,我們列舉了一些流行的和有趣的Firefox外掛,這些外掛對滲透測試人員來說是非常有用的。這些外掛是多樣的,有資訊收集工具,也有攻擊攻擊。使用那些你認為有用的外掛就可以了。這裡面也有一些需要額外付費的外掛,比如Dominator

pro,
它就需要從官方購買。請看下面的列表。

對安全研究人員和滲透測試人員有用的Firefox外掛

1.FoxyProxy Standard

FoxyProxy是一個高階的代理管理外掛。它能夠提高firefox的內建代理的相容性。這兒也有一些其它的相似型別的代理管理外掛。但是它可以提供更多的功能。基於URL的引數,它可以從一個或多個代理之間轉換。當代理在使用時,它還可以顯示一個動畫的圖示。假如你要想看這個工具使用過的代理,你就可以檢視它的日誌。連結地址:https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/

2.Firebug

Firebug是一個好的外掛,它整合了web開發工具。使用這個工具,你可以編輯和除錯頁面上的HTML,CSSjavascript,然後檢視任何的更改所帶來的影響。它能夠幫助我們分析JS檔案來發現XSS缺陷。用來發現基於DOMXSS缺陷,Firebug是相當有用的。連結地址:https://addons.mozilla.org/en-US/firefox/addon/firebug/

3.Web Developer

Web Developer是另外一個好的外掛,能為瀏覽器新增很多web開發工具。當然在滲透滲透測試中也能幫上忙。連結地址:https://addons.mozilla.org/de/firefox/addon/web-developer/

4.User Agent Switcher

該外掛是在瀏覽器上增加一個選單和一個工具條按鈕。如果你想改變user

agent,
使用這個工具條和按鈕就可以了。該外掛可以幫助我們在執行一些攻擊時做到欺騙的目的。連結地址:https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/

5.Live HTTP Headers

該外掛是相當有用的滲透測試外掛。它實時的現實每一個http請求和http響應的headers.當然你也可以通過點選位於左側角落的按鈕來儲存header資訊。多餘的話就不多說了。重要性大家都知道。連結地址:https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/

6.Tamper Data

Tamper Data和上面的Live

HTTP Header
類似。但Temper Dataheader編輯的功能。使用該外掛,你可以檢視,編輯HTTP/HTTPS

Header
post引數。它還可以通過更改header

data
被用於執行XSSSQL注入攻擊。連結地址:https://addons.mozilla.org/en-US/firefox/addon/tamper-data/

7.Hackbar

Hackbar是一個簡單的滲透測試工具。它能幫助我們測試簡單的SQL注入和XSS漏洞。你不能使用它來執行標準的exploits,但是你可以使用它來測試缺陷存在與否。你可以手動的提交帶有GETPOST的表單資料。它還有加密和編碼的功能。大部分情況下,這個工具可以幫助我們使用編碼的payload測試XSS缺陷。它還支援鍵盤快捷鍵方式來執行多種任務。我很確定,大多數安全領域的夥計們都知道這個工具。這個工具能用來發現POST

XSS
缺陷。因為它可以手動傳送POST

Data
到任何你喜歡的頁面。這樣的話,你就可以繞過客戶端頁面的驗證。如果你的payload將在客戶端編碼,你可以使用編碼工具來編碼你的payload,然後執行攻擊。如果應用易受到XSS攻擊,我非常確信你將在Hackbar的幫助下找到這個缺陷點。連結地址:https://addons.mozilla.org/en-US/firefox/addon/hackbar/

8.WebSecurity

WebSecurity是一個不錯的滲透測試工具。我們已經在前面的文章中介紹過這個工具欄。WebSecurity可以檢測大多數常見的web應用缺陷。這個工具可以容易的檢測XSSSQL注入和其它web應用缺陷。不像其它所列舉的工具,websecurity完完全全是一個滲透測試工具。連結地址:https://addons.mozilla.org/en-us/firefox/addon/websecurify/

9.Add N Edit Cookies

Add N Edit Cookies是一個cookie編輯外掛,它允許你在瀏覽器中新增和編輯cookie資料。使用這個外掛,你可以輕鬆的手動新增session資料。這個工具可以在當你擁有活動的使用者的session資料時執行session劫持攻擊。編輯你的cookie新增資料並劫持該帳戶。連結地址:https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/

10.XSS Me

跨站點指令碼攻擊是最常見的web應用缺陷。在一個web應用中檢測XSS缺陷,這個外掛應該是一個有用的工具。XSS

Me
常常用於發現反射型的XSS缺陷。它掃描頁面中所有的表單,然後在所選擇的頁面上使用預定義的XSS

Payloads
執行攻擊。在掃描完成以後,它會列出所有的頁面,這些頁面會顯示payload.這些頁面可能易受到XSS攻擊。現在你可以手動測試web頁面去發現XSS缺陷存在與否。連結地址:https://addons.mozilla.org/en-us/firefox/addon/xss-me/

11.SQL Inject Me

SQL Inject Me也是一個不錯的Firefox外掛,常常被用於查詢Web應用的SQL注入缺陷。這個工具不能利用缺陷,但是能夠顯示它是存在的。SQL注入是最具傷害的web應用缺陷之一,它孕育攻擊者檢視,更改,編輯,新增或刪除資料庫中的記錄。這個工具向表單中傳送一些未被過濾的字串,然後嘗試搜尋資料庫的錯誤資訊。如果它發現資料庫的錯誤資訊,它就會標記該頁面是易受攻擊的頁面。QA測試人員可以使用這個工具作為SQL注入的測試。連結地址:https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/

12.FlagFox

FlagFox是另外一個有趣的外掛。一旦安裝到瀏覽器,它就會顯示一個國旗用來告知web伺服器的位置。它同時也包含其它功能,如:whois,WOT

scorecard
ping.連結地址:https://addons.mozilla.org/en-us/firefox/addon/flagfox/

13.CrytoFox

CrytoFox是一個加密和解密的工具。它支援絕大多數的加密演算法。因此你可以輕易的使用支援的加密演算法加密和解密資料。這個外掛有字典攻擊的支援,可以破解MD5的密碼。雖然對它的評論不太好,但它的作用還是令人滿意的。連結地址:https://addons.mozilla.org/en-US/firefox/addon/cryptofox/

14.Access Me

Access Me是另外一個專業的安全測試外掛。這個外掛是由XSS MeSQL

Inject Me
同一家公司開發的。該外掛是用來測試web應用的訪問缺陷的。這個工具是通過傳送一些不同版本的頁面請求來工作的。帶有HTTP

HEAD
的請求和由SECCOM組成的請求將會被髮送。一個有sessionHEAD/SECCOM的集合同樣也會被髮送。連結地址:https://addons.mozilla.org/en-US/firefox/addon/access-me/

15.SecurityFocus Vulnerabilities search plugin

該外掛不是一個安全工具,而是一個搜尋外掛,讓使用者從Security

Focus
的資料庫來搜尋相關的缺陷點。連結地址:https://addons.mozilla.org/en-us/firefox/addon/securityfocus-vulnerabilities-/

16.Packet Storm search plugin

這是另外一個搜尋外掛,讓使用者從packetstormsecurity.org站點搜尋工具和相關利用。這個站點提供最新的免費的安全工具,利用和公告。連結地址:https://addons.mozilla.org/en-us/firefox/addon/packet-storm-search-plugin/

17.Offset Exploit-db Search

這個外掛和上面兩個類似。它也是讓使用者從exploit-db.com站點搜尋缺陷和列舉的利用。當然這個站點提供的東東也是最新。連結地址:https://addons.mozilla.org/en-us/firefox/addon/offsec-exploit-db-search/

18.Snort IDS Rule Search

這個外掛也是一個搜尋外掛。使用者可以利用這個外掛從snort.org站點搜尋Snort

IDS rules. Snort
是世界範圍內部署最廣泛的IDS/IPS技術。它是開源的網路入侵預防和檢測系統,超過400000使用者在使用該技術。連結地址:https://addons.mozilla.org/en-US/firefox/addon/snort-ids-rule-search/

 

這裡僅僅是一些你可以在web應用滲透測試中使用的外掛。當然你不可能使用這些工具就可以完成你的滲透測試工作,但這些工具是相當有用的,可以減少你使用其它獨立的工具。

格言:我只做有技術的搬運工!

譯自:http://resources.infosecinstitute.com/use-firefox-browser-as-a-penetration-testing-tool-with-these-add-ons/

本文轉自文東會部落格51CTO部落格,原文連結http://blog.51cto.com/hackerwang/1284828如需轉載請自行聯絡原作者

謝文東666


相關文章