Firefox成为渗透测试工具的18个插件
Firefox是一个出自Mozilla组织的流行的web浏览器。Firefox的流行并不仅仅是因为它是一个好的浏览器,而是因为它能够支持插件进而加强它自身的功能。Mozilla有一个插件站点,在那里面有成千上万的,非常有用的,不同种类的插件。一些插件对于渗透测试人员和安全分析人员来说是相当有用的。这些渗透测试插件帮助我们执行不同类型的攻击,并能直接从浏览器中更改请求头部。对于渗透测试中涉及到的相关工作,使用插件方式可以减少我们对独立工具的使用。
1. FoxyProxy Standard
FoxyProxy 是一个高级的代理管理插件。它能够提高firefox的内置代理的兼容性。这儿也有一些其它的相似类型的代理管理插件。但是它可以提供更多的功能。基于URL的参数,它可以从一个或多个代理之间转换。当代理在使用时,它还可以显示一个动画的图标。假如你要想看这个工具使用过的代理,你就可以查看它的日志。 https://addons.mozilla.org/en-US ... foxyproxy-standard/
2. Firebug
Firebug是一个好的插件,它集成了web开发工具。使用这个工具,你可以编辑和调试页面上的HTML,CSS和javascript,然后查看任何的更改所带来的影响。它能够帮助我们分析JS文件来发现XSS缺陷。用来发现基于DOM的XSS缺陷,Firebug是相当有用的。链接地址:https://addons.mozilla.org/en-US/firefox/addon/firebug/
3. Web Developer
Web Developer是另外一个好的插件,能为浏览器添加很多web开发工具。当然在渗透渗透测试中也能帮上忙。链接地址:https://addons.mozilla.org/de/firefox/addon/web-developer/
4. User Agent Switcher
该插件是在浏览器上增加一个菜单和一个工具条按钮。如果你想改变user agent, 使用这个工具条和按钮就可以了。该插件可以帮助我们在执行一些攻击时做到欺骗的目的。链接地址:https://addons.mozilla.org/en-US ... ser-agent-switcher/
5. Live HTTP Headers
该插件是相当有用的渗透测试插件。它实时的现实每一个http请求和http响应的headers.当然你也可以通过点击位于左侧角落的按钮来保存header信息。多余的话就不多说了。重要性大家都知道。链接地址:https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/
6. Tamper Data
Tamper Data和上面的Live HTTP Header类似。但Temper Data有header编辑的功能。使用该插件,你可以查看,编辑HTTP/HTTPS Header和post 参数。它还可以通过更改header data被用于执行XSS和SQL注入攻击。链接地址:https://addons.mozilla.org/en-US/firefox/addon/tamper-data/
7. Hackbar
Hackbar是一个简单的渗透测试工具。它能帮助我们测试简单的SQL注入和XSS漏洞。你不能使用它来执行标准的exploits,但是你可以使用它来测试缺陷存在与否。你可以手动的提交带有GET和POST的表单数据。它还有加密和编码的功能。大部分情况下,这个工具可以帮助我们使用编码的payload测试XSS缺陷。它还支持键盘快捷键方式来执行多种任务。我很确定,大多数安全领域的伙计们都知道这个工具。这个工具能用来发现POST XSS缺陷。因为它可以手动发送POST Data到任何你喜欢的页面。这样的话,你就可以绕过客户端页面的验证。如果你的payload将在客户端编码,你可以使用编码工具来编码你的payload,然后执行攻击。如果应用易受到XSS攻击,我非常确信你将在Hackbar的帮助下找到这个缺陷点。链接地址:https://addons.mozilla.org/en-US/firefox/addon/hackbar/
8. WebSecurity
WebSecurity是一个不错的渗透测试工具。我们已经在前面的文章中介绍过这个工具栏。WebSecurity可以检测大多数常见的web应用缺陷。这个工具可以容易的检测XSS,SQL注入和其它web应用缺陷。不像其它所列举的工具,websecurity完完全全是一个渗透测试工具。链接地址:https://addons.mozilla.org/en-us/firefox/addon/websecurify/
9. Add N Edit Cookies
Add N Edit Cookies是一个cookie编辑插件,它允许你在浏览器中添加和编辑cookie数据。使用这个插件,你可以轻松的手动添加session 数据。这个工具可以在当你拥有活动的用户的session数据时执行session 劫持 攻击。编辑你的cookie添加数据并劫持该帐户。链接地址:https://addons.mozilla.org/en-US ... edit-cookies-13793/
10. XSS Me
跨站点脚本攻击是最常见的web应用缺陷。在一个web应用中检测XSS缺陷,这个插件应该是一个有用的工具。XSS Me常常用于发现反射型的XSS缺陷。它扫描页面中所有的表单,然后在所选择的页面上使用预定义的XSS Payloads执行攻击。在扫描完成以后,它会列出所有的页面,这些页面会显示payload.这些页面可能易受到XSS攻击。现在你可以手动测试web页面去发现XSS缺陷存在与否。链接地址:https://addons.mozilla.org/en-us/firefox/addon/xss-me/
11. SQL Inject Me
SQL Inject Me 也是一个不错的Firefox插件,常常被用于查找Web应用的SQL注入缺陷。这个工具不能利用缺陷,但是能够显示它是存在的。SQL注入是最具伤害的web应用缺陷之一,它孕育攻击者查看,更改,编辑,添加或删除数据库中的记录。这个工具向表单中发送一些未被过滤的字符串,然后尝试搜索数据库的错误信息。如果它发现数据库的错误信息,它就会标记该页面是易受攻击的页面。QA测试人员可以使用这个工具作为SQL注入的测试。链接地址:https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/
12. FlagFox
FlagFox 是另外一个有趣的插件。一旦安装到浏览器,它就会显示一个国旗用来告知web服务器的位置。它同时也包含其它功能,如:whois,WOT scorecard 和 ping. 链接地址:https://addons.mozilla.org/en-us/firefox/addon/flagfox/
13. CrytoFox
CrytoFox是一个加密和解密的工具。它支持绝大多数的加密算法。因此你可以轻易的使用支持的加密算法加密和解密数据。这个插件有字典攻击的支持,可以破解MD5的密码。虽然对它的评论不太好,但它的作用还是令人满意的。链接地址:https://addons.mozilla.org/en-US/firefox/addon/cryptofox/
14. Access Me
Access Me是另外一个专业的安全测试插件。这个插件是由XSS Me 和SQL Inject Me同一家公司开发的。该插件是用来测试web应用的访问缺陷的。这个工具是通过发送一些不同版本的页面请求来工作的。带有HTTP HEAD的请求和由SECCOM组成的请求将会被发送。一个有session和HEAD/SECCOM的集合同样也会被发送。链接地址:https://addons.mozilla.org/en-US/firefox/addon/access-me/
15. SecurityFocus Vulnerabilities search plugin
该插件不是一个安全工具,而是一个搜索插件,让用户从Security Focus的数据库来搜索相关的缺陷点。链接地址:https://addons.mozilla.org/en-us ... s-vulnerabilities-/
16. Packet Storm search plugin
这是另外一个搜索插件,让用户从packetstormsecurity.org站点搜索工具和相关利用。这个站点提供最新的免费的安全工具,利用和公告。链接地址:https://addons.mozilla.org/en-us ... torm-search-plugin/
17. Offset Exploit-db Search
这个插件和上面两个类似。它也是让用户从exploit-db.com站点搜索缺陷和列举的利用。当然这个站点提供的东东也是最新。链接地址:https://addons.mozilla.org/en-us ... -exploit-db-search/
18. Snort IDS Rule Search
这个插件也是一个搜索插件。用户可以利用这个插件从snort.org站点搜索Snort IDS rules. Snort是世界范围内部署最广泛的IDS/IPS技术。它是开源的网络入侵预防和检测系统,超过400000用户在使用该技术。链接地址:https://addons.mozilla.org/en-US ... rt-ids-rule-search/这里仅仅是一些你可以在web应用渗透测试中使用的插件。当然你不可能使用这些工具就可以完成你的渗透测试工作,但这些工具是相当有用的,可以减少你使用其它独立的工具。
Firefox成为渗透测试工具的18个插件相关推荐
- 18个扩展让你的Firefox成为渗透测试工具
Firefox是一个出自Mozilla组织的流行的web浏览器.Firefox的流行并不仅仅是因为它是一个好的浏览器,而是因为它能够支持插件进而加强它自身的功能.Mozilla有一个插件站点,在那里面 ...
- Powershell 渗透测试工具-Nishang
Powershell 渗透测试工具-Nishang 分享到: 作者:V1ct0r 稿费:500RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 传送门 ...
- 最好用的17个渗透测试工具
本文讲的是 最好用的17个渗透测试工具, 渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作.当然,是在恶意黑客找到这些漏洞之前.而这些业内安全专家各自钟爱的工具各种各样,一些工具是公开免费的,另 ...
- 渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的 ): 英文文档:https://nmap.org/book/man.html 中文文档:https://nmap.org/ ...
- 暗渡陈仓:用低消耗设备进行破解和渗透测试1.2.2 渗透测试工具集
1.2.2 渗透测试工具集 Deck包含大量的渗透测试工具.设计理念是每个可能会用到的工具都应该包含进来,以确保在使用时无须下载额外的软件包.在渗透测试行动中给攻击机安装新的软件包很困难,轻则要费很大 ...
- 自动渗透测试工具集APT2
自动渗透测试工具集APT2 APT2是Kali Linux新增的一款自动渗透测试工具集.它可以进行NMAP扫描,也可以直接读取Nexpose.Nessus和NMAP的扫描结果,然后自动进行渗透测试.在 ...
- 轻量级Web渗透测试工具jSQL
轻量级Web渗透测试工具jSQL jSQL是Kali集成的一款轻量级的Web渗透测试工具.最初该工具主要实施SQL注入,后来增加更多的功能,扩展形成一个综合性的Web渗透测试工具.Kali提供的版本较 ...
- 全能无线渗透测试工具,一个LAZY就搞定了
近来一直在研究无线安全方面的东西,特别是在无线渗透测试这块,每次渗透测试时总要来回不停的切换操作和挑选利器,很是麻烦.就想看看是否可以有一款功能全面的集合型工具. 正所谓功夫不负有心人,还真有这么一个 ...
- 渗透测试工具Burp Suite详解
Burp Suite 的安装 Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击. Burp Suite由Java语言编写,基于Ja ...
最新文章
- 【Android UI设计与开发】第10期:顶部标题栏(一)ActionBar详细概述和简单示例
- Delphi 2010 refactor / refactoring 重构不能使用的原因以及解决
- 037_Dropdown下拉菜单
- VC++ 保存数据为音频文件(WAV)学习
- python可视化文本分析(1)—分析QQ班群聊天记录宏观
- Markdown--表格语法
- 张正友相机标定程序实现
- mysql 查询数据库名是否存在_SQL查询数据库是否存在
- 基于JAVA+SpringMVC+Mybatis+MYSQL的网上二手车交易系统
- python离散化方法_python中字符串离散化的例子
- Windows多线程应用程序的编译和链接
- SAP物料批次管理配置及操作手册(轉載)
- 转录组测序技术及结果解读(一)——测序样品设置及选择
- 身为码农,为 12306 说两句公道话
- c盘是不是越大越好_C盘下的pagefile文件是不是越大越好?
- CAST 和 CONVERT
- Facebook 前端技术栈重构分享
- error: exportArchive: No signing certificate “iOS Distribution“ found
- 佐治亚理工计算机科学,佐治亚理工学院计算机科学专业如何?
- 学计算机的三本分数线,2020三本分数线