Firefox是一个出自Mozilla组织的流行的web浏览器。Firefox的流行并不仅仅是因为它是一个好的浏览器,而是因为它能够支持插件进而加强它自身的功能。Mozilla有一个插件站点,在那里面有成千上万的,非常有用的,不同种类的插件。一些插件对于渗透测试人员和安全分析人员来说是相当有用的。这些渗透测试插件帮助我们执行不同类型的攻击,并能直接从浏览器中更改请求头部。对于渗透测试中涉及到的相关工作,使用插件方式可以减少我们对独立工具的使用。
在这篇简明的文章中,我们列举了一些流行的和有趣的Firefox插件,这些插件对渗透测试人员来说是非常有用的。这些插件是多样的,有信息收集工具,也有攻击攻击。使用那些你认为有用的插件就可以了。这里面也有一些需要额外付费的插件,比如Dominator
pro,它就需要从官方购买。请看下面的列表。
对安全研究人员和渗透测试人员有用的Firefox
插件
1.
FoxyProxy Standard
FoxyProxy 是一个高级的代理管理插件。它能够提高firefox的内置代理的兼容性。这儿也有一些其它的相似类型的代理管理插件。但是它可以提供更多的功能。基于URL的参数,它可以从一个或多个代理之间转换。当代理在使用时,它还可以显示一个动画的图标。假如你要想看这个工具使用过的代理,你就可以查看它的日志。
2.
Firebug
3.
Web Developer
4.
User Agent Switcher
该插件是在浏览器上增加一个菜单和一个工具条按钮。如果你想改变user
5.
Live HTTP Headers
6.
Tamper Data
Tamper Data和上面的Live
HTTP Header类似。但Temper Data有header编辑的功能。使用该插件,你可以查看,编辑HTTP/HTTPS
Header和post
参数。它还可以通过更改header
7.
Hackbar
Hackbar是一个简单的渗透测试工具。它能帮助我们测试简单的SQL注入和XSS漏洞。你不能使用它来执行标准的exploits,但是你可以使用它来测试缺陷存在与否。你可以手动的提交带有GET和POST的表单数据。它还有加密和编码的功能。大部分情况下,这个工具可以帮助我们使用编码的payload测试XSS缺陷。它还支持键盘快捷键方式来执行多种任务。我很确定,大多数安全领域的伙计们都知道这个工具。这个工具能用来发现POST
XSS缺陷。因为它可以手动发送POST
8.
WebSecurity
9.
Add N Edit Cookies
Add N Edit Cookies是一个cookie编辑插件,它允许你在浏览器中添加和编辑cookie数据。使用这个插件,你可以轻松的手动添加session
数据。这个工具可以在当你拥有活动的用户的session数据时执行session
10.
XSS Me
跨站点脚本攻击是最常见的web应用缺陷。在一个web应用中检测XSS缺陷,这个插件应该是一个有用的工具。XSS
Me常常用于发现反射型的XSS缺陷。它扫描页面中所有的表单,然后在所选择的页面上使用预定义的XSS
11.
SQL Inject Me
12.
FlagFox
FlagFox 是另外一个有趣的插件。一旦安装到浏览器,它就会显示一个国旗用来告知web服务器的位置。它同时也包含其它功能,如:whois,WOT
scorecard 和 ping.
13.
CrytoFox
14.
Access Me
Access Me是另外一个专业的安全测试插件。这个插件是由XSS Me
和SQL
Inject Me同一家公司开发的。该插件是用来测试web应用的访问缺陷的。这个工具是通过发送一些不同版本的页面请求来工作的。带有HTTP
15.
SecurityFocus Vulnerabilities search plugin
该插件不是一个安全工具,而是一个搜索插件,让用户从Security
16.
Packet Storm search plugin
17.
Offset Exploit-db Search
18.
Snort IDS Rule Search
这个插件也是一个搜索插件。用户可以利用这个插件从snort.org站点搜索Snort
这里仅仅是一些你可以在web应用渗透测试中使用的插件。当然你不可能使用这些工具就可以完成你的渗透测试工作,但这些工具是相当有用的,可以减少你使用其它独立的工具。
格言:我只做有技术的搬运工!
![内网渗透1一、信息收集二、一些概念 三、提权四、获取当前机器下各类密码 四、用到的工具[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)