Kali Linux Web滲透測試手冊(第二版) - 1.2 - Firefox浏覽器下安裝一些常用的插件

• 第一章内容大綱

  一．配置KALI Linux和滲透測試環境

  在這一章，我們将覆寫以下内容：

• 1.1 在Windows和Linux上安裝VirtualBox
• 1.1 建立一個Kali Linux虛拟機
• 1.1 更新和更新Kali Linux
• 1.2 為滲透測試配置web浏覽器(即在Firefox浏覽器下安裝一些常用的插件)
• 建立一個屬于自己的靶機
• 配置網絡使虛拟機正常通信
• 了解靶機上易受攻擊的web應用程式

• 到目前為止，我們已在web浏覽器中安裝了一些工具，但這些工具在滲透測試web應用程式時的功能是什麼呢?安裝的插件介紹如下：

   1. 打開Firefox，進入菜單中的附加元件:

• 2. 在搜尋框中，輸入wappalyzer查找我們将要安裝的第一個插件:

  3. 單擊Wappalyzer插件中的Install安裝。您可能還需要确認安裝。

  4. 接下來，我們搜尋FoxyProxy。

  5. 點選安裝。

  6. 現在搜尋并安裝Cookies Manager+。

  7. 搜尋并安裝HackBar。

  8. 搜尋并安裝HttpRequester。(沒裝上一樣的，後面再看)

  9. 搜尋并安裝RESTClient。

  10. 搜尋并安裝User-Agent Switcher。

  11. 搜尋并安裝Tampermonkey。

  12. 搜尋并安裝Tamper Data and Tamper Data Icon Redux.(沒找到，後面再看)

  13. 安裝的擴充清單如下圖所示:

• HackBar:一個非常簡單的插件，可以幫助我們嘗試不同的輸入值，而無需更改或重寫完整的URL。在手工檢查跨站點腳本編寫和注入時，我們将經常使用這種方法。它可以使用F9鍵激活。
• cookie Manager+:這個附加元件允許我們檢視和修改浏覽器從應用程式接收到的cookie的值。
• User-Agent Switcher:此插件允許我們修改使用者代理字元串(浏覽器辨別符)，該字元串在發送到伺服器的所有請求中。應用程式有時使用這個字元串顯示或隐藏某些元素，這取決于所使用的浏覽器和作業系統。
• Tamper Data:這個附加元件能夠捕獲浏覽器發送給伺服器的任何請求，讓我們有機會在應用程式的表單中引入資料并到達伺服器之前修改資料。Tamper Data Icon Redux隻添加一個圖示。
• FoxyProxy Standard:一個非常有用的插件，允許我們使用使用者提供的預設，在一次點選中改變浏覽器的代理設定。
• Wappalyzer:這是一個用來識别網站中使用的平台和開發工具的工具。這對于提取web伺服器及其使用的軟體非常有用。
• HttpRequester:使用這個插件，可以處理HTTP請求，包括get、post和put方法，并觀察來自伺服器的原始響應。
• RESTClient:這基本上是一個像HTTP請求者一樣的請求生成器，但主要關注REST web服務。它包括添加标題、不同的身份驗證模式以及get、post、put和delete方法的選項。
• Tampermonkey:這個插件允許我們在浏覽器中安裝使用者腳本，并在加載之前或之後對web頁面内容進行動态更改。從滲透測試的角度來看，這有助于繞過用戶端控件和其他用戶端代碼操作。

• 其他

  其他對web應用程式滲透測試有用的插件如下:

• XSS Me   （沒有）
• SQL Inject Me （沒有）
• iMacros
• FirePHP（沒有）

• 1.2、為滲透測試配置web浏覽器(即在Firefox浏覽器下安裝一些常用的插件)

  大多數web滲透測試都是在用戶端進行的，也就是在web浏覽器中。是以，我們需要配置我們的浏覽器，使它成為一個對我們有用的工具。在這個“秘籍”中，我們将添加幾個插件到預設安裝在Kali Linux中的Firefox浏覽器上。

  怎麼做……

  Firefox是一個非常靈活的浏覽器，非常适合用來web滲透測試，并且他預設安裝在Kali Linux中。我們需要稍微定制一下，可以使用以下步驟：