18个扩展让你的Firefox成为渗透测试工具-freebuf

简介: Firefox是一个出自Mozilla组织的流行的web浏览器。Firefox的流行并不仅仅是因为它是一个好的浏览器,而是因为它能够支持插件进而加强它自身的功能。

Firefox是一个出自Mozilla组织的流行的web浏览器。Firefox的流行并不仅仅是因为它是一个好的浏览器,而是因为它能够支持插件进而加强它自身的功能。Mozilla有一个插件站点,在那里面有成千上万的,非常有用的,不同种类的插件。一些插件对于渗透测试人员和安全分析人员来说是相当有用的。这些渗透测试插件帮助我们执行不同类型的攻击,并能直接从浏览器中更改请求头部。对于渗透测试中涉及到的相关工作,使用插件方式可以减少我们对独立工具的使用。

在这篇简明的文章中,我们列举了一些流行的和有趣的Firefox插件,这些插件对渗透测试人员来说是非常有用的。这些插件是多样的,有信息收集工具,也有攻击攻击。使用那些你认为有用的插件就可以了。这里面也有一些需要额外付费的插件,比如Dominator
pro,它就需要从官方购买。请看下面的列表。

对安全研究人员和渗透测试人员有用的Firefox 插件

1.      FoxyProxy Standard

FoxyProxy 是一个高级的代理管理插件。它能够提高firefox的内置代理的兼容性。这儿也有一些其它的相似类型的代理管理插件。但是它可以提供更多的功能。基于URL的参数,它可以从一个或多个代理之间转换。当代理在使用时,它还可以显示一个动画的图标。假如你要想看这个工具使用过的代理,你就可以查看它的日志。 链接地址:https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/

2.       Firebug

Firebug是一个好的插件,它集成了web开发工具。使用这个工具,你可以编辑和调试页面上的HTML,CSSjavascript,然后查看任何的更改所带来的影响。它能够帮助我们分析JS文件来发现XSS缺陷。用来发现基于DOMXSS缺陷,Firebug是相当有用的。链接地址:https://addons.mozilla.org/en-US/firefox/addon/firebug/

3.       Web Developer

Web Developer是另外一个好的插件,能为浏览器添加很多web开发工具。当然在渗透渗透测试中也能帮上忙。链接地址:https://addons.mozilla.org/de/firefox/addon/web-developer/

4.       User Agent Switcher

该插件是在浏览器上增加一个菜单和一个工具条按钮。如果你想改变user
agent, 使用这个工具条和按钮就可以了。该插件可以帮助我们在执行一些攻击时做到欺骗的目的。链接地址:https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/

5.       Live HTTP Headers

该插件是相当有用的渗透测试插件。它实时的现实每一个http请求和http响应的headers.当然你也可以通过点击位于左侧角落的按钮来保存header信息。多余的话就不多说了。重要性大家都知道。链接地址:https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/

6.       Tamper Data

Tamper Data和上面的Live
HTTP Header类似。但Temper Dataheader编辑的功能。使用该插件,你可以查看,编辑HTTP/HTTPS
Headerpost 参数。它还可以通过更改header
data被用于执行XSSSQL注入攻击。链接地址:https://addons.mozilla.org/en-US/firefox/addon/tamper-data/

7.       Hackbar

Hackbar是一个简单的渗透测试工具。它能帮助我们测试简单的SQL注入和XSS漏洞。你不能使用它来执行标准的exploits,但是你可以使用它来测试缺陷存在与否。你可以手动的提交带有GETPOST的表单数据。它还有加密和编码的功能。大部分情况下,这个工具可以帮助我们使用编码的payload测试XSS缺陷。它还支持键盘快捷键方式来执行多种任务。我很确定,大多数安全领域的伙计们都知道这个工具。这个工具能用来发现POST
XSS缺陷。因为它可以手动发送POST
Data到任何你喜欢的页面。这样的话,你就可以绕过客户端页面的验证。如果你的payload将在客户端编码,你可以使用编码工具来编码你的payload,然后执行攻击。如果应用易受到XSS攻击,我非常确信你将在Hackbar的帮助下找到这个缺陷点。链接地址:https://addons.mozilla.org/en-US/firefox/addon/hackbar/

8.       WebSecurity

WebSecurity是一个不错的渗透测试工具。我们已经在前面的文章中介绍过这个工具栏。WebSecurity可以检测大多数常见的web应用缺陷。这个工具可以容易的检测XSSSQL注入和其它web应用缺陷。不像其它所列举的工具,websecurity完完全全是一个渗透测试工具。链接地址:https://addons.mozilla.org/en-us/firefox/addon/websecurify/

9.       Add N Edit Cookies

Add N Edit Cookies是一个cookie编辑插件,它允许你在浏览器中添加和编辑cookie数据。使用这个插件,你可以轻松的手动添加session 数据。这个工具可以在当你拥有活动的用户的session数据时执行session 劫持 攻击。编辑你的cookie添加数据并劫持该帐户。链接地址:https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/

10.   XSS Me

跨站点脚本攻击是最常见的web应用缺陷。在一个web应用中检测XSS缺陷,这个插件应该是一个有用的工具。XSS
Me常常用于发现反射型的XSS缺陷。它扫描页面中所有的表单,然后在所选择的页面上使用预定义的XSS
Payloads执行攻击。在扫描完成以后,它会列出所有的页面,这些页面会显示payload.这些页面可能易受到XSS攻击。现在你可以手动测试web页面去发现XSS缺陷存在与否。链接地址:https://addons.mozilla.org/en-us/firefox/addon/xss-me/

11.   SQL Inject Me

SQL Inject Me 也是一个不错的Firefox插件,常常被用于查找Web应用的SQL注入缺陷。这个工具不能利用缺陷,但是能够显示它是存在的。SQL注入是最具伤害的web应用缺陷之一,它孕育攻击者查看,更改,编辑,添加或删除数据库中的记录。这个工具向表单中发送一些未被过滤的字符串,然后尝试搜索数据库的错误信息。如果它发现数据库的错误信息,它就会标记该页面是易受攻击的页面。QA测试人员可以使用这个工具作为SQL注入的测试。链接地址:https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/

12.   FlagFox

FlagFox 是另外一个有趣的插件。一旦安装到浏览器,它就会显示一个国旗用来告知web服务器的位置。它同时也包含其它功能,如:whois,WOT
scorecard ping. 链接地址:https://addons.mozilla.org/en-us/firefox/addon/flagfox/

13.   CrytoFox

CrytoFox是一个加密和解密的工具。它支持绝大多数的加密算法。因此你可以轻易的使用支持的加密算法加密和解密数据。这个插件有字典攻击的支持,可以破解MD5的密码。虽然对它的评论不太好,但它的作用还是令人满意的。链接地址:https://addons.mozilla.org/en-US/firefox/addon/cryptofox/

14.   Access Me

Access Me是另外一个专业的安全测试插件。这个插件是由XSS Me SQL
Inject Me同一家公司开发的。该插件是用来测试web应用的访问缺陷的。这个工具是通过发送一些不同版本的页面请求来工作的。带有HTTP
HEAD的请求和由SECCOM组成的请求将会被发送。一个有sessionHEAD/SECCOM的集合同样也会被发送。链接地址:https://addons.mozilla.org/en-US/firefox/addon/access-me/

15.   SecurityFocus Vulnerabilities search plugin

该插件不是一个安全工具,而是一个搜索插件,让用户从Security
Focus的数据库来搜索相关的缺陷点。链接地址:https://addons.mozilla.org/en-us/firefox/addon/securityfocus-vulnerabilities-/

16.   Packet Storm search plugin

这是另外一个搜索插件,让用户从packetstormsecurity.org站点搜索工具和相关利用。这个站点提供最新的免费的安全工具,利用和公告。链接地址:https://addons.mozilla.org/en-us/firefox/addon/packet-storm-search-plugin/

17.   Offset Exploit-db Search

这个插件和上面两个类似。它也是让用户从exploit-db.com站点搜索缺陷和列举的利用。当然这个站点提供的东东也是最新。链接地址:https://addons.mozilla.org/en-us/firefox/addon/offsec-exploit-db-search/

18.   Snort IDS Rule Search

这个插件也是一个搜索插件。用户可以利用这个插件从snort.org站点搜索Snort
IDS rules. Snort是世界范围内部署最广泛的IDS/IPS技术。它是开源的网络入侵预防和检测系统,超过400000用户在使用该技术。链接地址:https://addons.mozilla.org/en-US/firefox/addon/snort-ids-rule-search/

这里仅仅是一些你可以在web应用渗透测试中使用的插件。当然你不可能使用这些工具就可以完成你的渗透测试工作,但这些工具是相当有用的,可以减少你使用其它独立的工具。

格言:我只做有技术的搬运工!

译自:http://resources.infosecinstitute.com/use-firefox-browser-as-a-penetration-testing-tool-with-these-add-ons/

目录
相关文章
|
23天前
|
Java 测试技术 数据安全/隐私保护
软件测试中的自动化策略与工具应用
在软件开发的快速迭代中,自动化测试以其高效、稳定的特点成为了质量保证的重要手段。本文将深入探讨自动化测试的核心概念、常见工具的应用,以及如何设计有效的自动化测试策略,旨在为读者提供一套完整的自动化测试解决方案,帮助团队提升测试效率和软件质量。
|
1月前
|
安全 Linux 虚拟化
|
16天前
|
Web App开发 IDE 测试技术
Selenium:强大的 Web 自动化测试工具
Selenium 是一款强大的 Web 自动化测试工具,包括 Selenium IDE、WebDriver 和 Grid 三大组件,支持多种编程语言和跨平台操作。它能有效提高测试效率,解决跨浏览器兼容性问题,进行性能测试和数据驱动测试,尽管存在学习曲线较陡、不稳定等缺点,但其优势明显,是自动化测试领域的首选工具。
112 17
Selenium:强大的 Web 自动化测试工具
|
26天前
|
机器学习/深度学习 人工智能 算法
BALROG:基准测试工具,用于评估 LLMs 和 VLMs 在复杂动态环境中的推理能力
BALROG 是一款用于评估大型语言模型(LLMs)和视觉语言模型(VLMs)在复杂动态环境中推理能力的基准测试工具。它通过一系列挑战性的游戏环境,如 NetHack,测试模型的规划、空间推理和探索能力。BALROG 提供了一个开放且细粒度的评估框架,推动了自主代理研究的进展。
37 3
BALROG:基准测试工具,用于评估 LLMs 和 VLMs 在复杂动态环境中的推理能力
|
1月前
|
监控 测试技术 开发工具
移动端性能测试工具
移动端性能测试工具
49 2
|
1月前
|
安全 前端开发 测试技术
如何选择合适的自动化安全测试工具
选择合适的自动化安全测试工具需考虑多个因素,包括项目需求、测试目标、系统类型和技术栈,工具的功能特性、市场评价、成本和许可,以及集成性、误报率、社区支持、易用性和安全性。综合评估这些因素,可确保所选工具满足项目需求和团队能力。
|
1月前
|
安全 网络协议 关系型数据库
最好用的17个渗透测试工具
渗透测试是安全人员为防止恶意黑客利用系统漏洞而进行的操作。本文介绍了17款业内常用的渗透测试工具,涵盖网络发现、无线评估、Web应用测试、SQL注入等多个领域,包括Nmap、Aircrack-ng、Burp Suite、OWASP ZAP等,既有免费开源工具,也有付费专业软件,适用于不同需求的安全专家。
178 2
|
1月前
|
监控 网络协议 Java
一些适合性能测试脚本编写和维护的工具
一些适合性能测试脚本编写和维护的工具
|
1月前
|
Web App开发 定位技术 iOS开发
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
Playwright 是一个强大的工具,用于在各种浏览器上测试应用,并模拟真实设备如手机和平板。通过配置 `playwright.devices`,可以轻松模拟不同设备的用户代理、屏幕尺寸、视口等特性。此外,Playwright 还支持模拟地理位置、区域设置、时区、权限(如通知)和配色方案,使测试更加全面和真实。例如,可以在配置文件中设置全局的区域设置和时区,然后在特定测试中进行覆盖。同时,还可以动态更改地理位置和媒体类型,以适应不同的测试需求。
70 1
|
1月前
|
安全 测试技术 持续交付
云计算时代的软件开发与测试:高效、灵活、可扩展
云计算时代的软件开发与测试:高效、灵活、可扩展