Firefox是一個出自Mozilla組織的流行的web浏覽器。Firefox的流行并不僅僅是因為它是一個好的浏覽器,而是因為它能夠支援插件進而加強它自身的功能。Mozilla有一個插件站點,在那裡面有成千上萬的,非常有用的,不同種類的插件。一些插件對于滲透測試人員和安全分析人員來說是相當有用的。這些滲透測試插件幫助我們執行不同類型的攻擊,并能直接從浏覽器中更改請求頭部。對于滲透測試中涉及到的相關工作,使用插件方式可以減少我們對獨立工具的使用。
在這篇簡明的文章中,我們列舉了一些流行的和有趣的Firefox插件,這些插件對滲透測試人員來說是非常有用的。這些插件是多樣的,有資訊收集工具,也有攻擊攻擊。使用那些你認為有用的插件就可以了。這裡面也有一些需要額外付費的插件,比如Dominator
pro,它就需要從官方購買。請看下面的清單。
對安全研究人員和滲透測試人員有用的Firefox
插件
1.
FoxyProxy Standard
FoxyProxy 是一個進階的代理管理插件。它能夠提高firefox的内置代理的相容性。這兒也有一些其它的相似類型的代理管理插件。但是它可以提供更多的功能。基于URL的參數,它可以從一個或多個代理之間轉換。當代理在使用時,它還可以顯示一個動畫的圖示。假如你要想看這個工具使用過的代理,你就可以檢視它的日志。
2.
Firebug
3.
Web Developer
4.
User Agent Switcher
該插件是在浏覽器上增加一個菜單和一個工具條按鈕。如果你想改變user
5.
Live HTTP Headers
6.
Tamper Data
Tamper Data和上面的Live
HTTP Header類似。但Temper Data有header編輯的功能。使用該插件,你可以檢視,編輯HTTP/HTTPS
Header和post
參數。它還可以通過更改header
7.
Hackbar
Hackbar是一個簡單的滲透測試工具。它能幫助我們測試簡單的SQL注入和XSS漏洞。你不能使用它來執行标準的exploits,但是你可以使用它來測試缺陷存在與否。你可以手動的送出帶有GET和POST的表單資料。它還有加密和編碼的功能。大部分情況下,這個工具可以幫助我們使用編碼的payload測試XSS缺陷。它還支援鍵盤快捷鍵方式來執行多種任務。我很确定,大多數安全領域的夥計們都知道這個工具。這個工具能用來發現POST
XSS缺陷。因為它可以手動發送POST
8.
WebSecurity
9.
Add N Edit Cookies
Add N Edit Cookies是一個cookie編輯插件,它允許你在浏覽器中添加和編輯cookie資料。使用這個插件,你可以輕松的手動添加session
資料。這個工具可以在當你擁有活動的使用者的session資料時執行session
10.
XSS Me
跨站點腳本攻擊是最常見的web應用缺陷。在一個web應用中檢測XSS缺陷,這個插件應該是一個有用的工具。XSS
Me常常用于發現反射型的XSS缺陷。它掃描頁面中所有的表單,然後在所選擇的頁面上使用預定義的XSS
11.
SQL Inject Me
12.
FlagFox
FlagFox 是另外一個有趣的插件。一旦安裝到浏覽器,它就會顯示一個國旗用來告知web伺服器的位置。它同時也包含其它功能,如:whois,WOT
scorecard 和 ping.
13.
CrytoFox
14.
Access Me
Access Me是另外一個專業的安全測試插件。這個插件是由XSS Me
和SQL
Inject Me同一家公司開發的。該插件是用來測試web應用的通路缺陷的。這個工具是通過發送一些不同版本的頁面請求來工作的。帶有HTTP
15.
SecurityFocus Vulnerabilities search plugin
該插件不是一個安全工具,而是一個搜尋插件,讓使用者從Security
16.
Packet Storm search plugin
17.
Offset Exploit-db Search
18.
Snort IDS Rule Search
這個插件也是一個搜尋插件。使用者可以利用這個插件從snort.org站點搜尋Snort
這裡僅僅是一些你可以在web應用滲透測試中使用的插件。當然你不可能使用這些工具就可以完成你的滲透測試工作,但這些工具是相當有用的,可以減少你使用其它獨立的工具。
格言:我隻做有技術的搬運工!
![内網滲透1一、資訊收集二、一些概念 三、提權四、擷取目前機器下各類密碼 四、用到的工具[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)