• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Это аналог статьи «Хакерские плагины для Firefox», т. е. если вы пользуетесь Firefox (а не Chrome), то вы знаете что делать.

Все программы, в том числе и плагины, всегда скачивайте с официальных сайтов. Для плагинов браузера Chrome официальным сайтом является . Пусть нас не смущает слово «магазин» — все рассматриваемые ниже плагины бесплатные.

Cookie Manager

Управляет cookies и защищает приватность. Добавляет, редактирует и удаляет кукиз через панель инструментов. Может искать кукиз, если их много.

Функции
  • Поиск по кукиз
  • Просмотр всех кукиз
  • Просмотр кукиз по поддоменам
  • Просмотр кукиз текущего домена
  • Удаление всех кукиз (примечание: некоторые кукиз повторно создают себя после удаления. Поэтому они могут появиться вновь в списке после удаления)
  • Удалить кукиз для конкретного домена
  • Удалить конкретное куки
  • Добавить новое куки
  • Отредактировать существующее куки
Другие опции:
  1. Доступ к Cookie Manager из контекстного меню
  2. Изменение иконки в панели инструментов
  3. Добавить / удалить из контекстного меню
Эти опции доступны через:

Инструменты —> Расширения —> Cookie Manager —> Нажмите опции

ИЛИ

Правый клик на панели инструментов —> Нажмите опции

.

Hide My Ass! Web Proxy

Официальное расширение HMA! Web Proxy; легко переключиться на анонимный браузинг.

Hide My Ass! работает на большинстве популярных браузеров, это официальное расширение от популярной компании, которое позволяет нам с лёгкостью перенаправлять наш веб-трафик через их анонимные прокси.

Зачем может понадобиться веб-прокси?
  1. Анонимный сёрфинг по веб-сайтам.
  2. Спрятать и изменить свой IP адрес (он является «онлайн отпечатками пальцев»).
  3. Скрыть вашу историю посещений сайтов.
  4. SSL шифрование для всех веб-сайтов
  5. Обход веб-фильтров и географических интернет блокировок.
Чем Hide My Ass! отличается от других подобных решений?
  1. Нет сторонней рекламы или назойливых всплывающих окон.
  2. Работает с популярными видео веб-сайтами, такими как YouTube и adult tubes.
  3. Используются различные IP адреса, а не только один.
  4. Прокси сервера в нескольких странах.
  5. SSL/HTTPS для всех серверов.
Функции расширения:
  1. Один клик и вы уже используете прокси для веб-сайтов, кликните на иконку расширения, чтобы начать просматривать веб-сайты анонимно. Как вариант, кликните на иконку в новой вкладке, чтобы показать форму веб-прокси и указать сайт для просмотра через прокси.
  2. Выберите особый веб прокси сервер (USA, UK, NL).
  3. Обфускация URL. Выберите между закодированным и зашифрованным URL веб прокси.
  4. SSL шифрование. Выберите между HTTP и HTTPS веб браузингом.
  5. Опция всегда запускать веб прокси в режиме инкогнито, чтобы увеличить анонимность.
  6. Опция всегда запускать веб прокси в новой вкладке.
  7. Опция всегда спрашивать для введённых вручную URL (и не делать редирект основываясь на записях в адресной книге).
  8. Правый клик > Функции прокси.
Tamper Chrome (extension)

Позволяет пользователю модифицировать запросы как только они произошли.

Для использования этого плагина, обновите веб-сайт и посмотрите в инструменты разработчика (правый клик → Просмотр кода элемента). Tamper Chrome появится в новой вкладке.

Tamper Chrome позволяет вам мониторить запросы, отправляемые вашим браузером и ответы. Вы также можете модифицировать запросы во время их отправки и модифицировать ответы в сторону ограничения (заголовки css, javascript или XMLHttpRequest responseText).

Смотрите, что веб-сайт отправляет в фоне, меняйте подачи, отключайте скрипты, меняйте AJAX ответы. Tamper Chrome возвращает силу твоего браузера обратно в твои руки.

При первом запуске Tamper Chrome запросит установить приложение-спутник — Tamper Chrome (application).

Tamper Chrome (application)

Это то приложение, о котором говорилось чуть выше и которое необходимо для работы Tamper Chrome (extension). Скачать Tamper Chrome .

Web Developer

Добавляет кнопку в панель инструментов с различными инструментами веб-разработчика. Это официальный порт Web Developer — расширения для Firefox. Скачать Web Developer .

HackBar

Простой инструмент аудита безопасности / тестирования на проникновение. Скачать HackBar .

Этот тулбар поможет вам в тестировании sql-инъекций, XSS дыр и безопасности сайта. Это НЕ инструмент для выполнения стандартных эксплойтов и он НЕ научит вас как взламывать сайт. Его главная цель — это помочь разработчику сделать аудит безопасности его кода. Если вы знаете что делать, тулбар поможет сделать вам это быстрее. Если вы хотите научиться искать дыры в безопасности, вы также можете использовать этот тулбар, но вам, возможно, также понадобиться и книга, много гугления и мозг

Мой вывод: ничем не поможет начинающему хакеру. А для не начинающих и даже начинающих есть шикарная sqlmap.

Port Scanner

Расширение Port Scanner выявляет живые службы на хосте, используя опросы TCP портов. Скачать Port Scanner .

Port Scanner проверит, какие TCP порты прослушиваются. Вы можете протестировать эти порты чтобы увидеть, запущено ли что-нибудь на них. Рекомендуется любую не нужную службу отключать. Используйте Port Scanner для сканирования индивидуальных портов, чтобы определить, прослушивается ли этот порт. Port Scanner проанализирует данный ему IP адрес или URL на открытые порты, что поможет вам обезопасить их.

Это расширение также доступно для браузера и Mozilla Firefox.

Мой вывод: В целом расширение так себе — только если нет ну никакой возможности воспользоваться нормальным сканером портов. Плюсы: оно работает; минусы: во время сканирования нельзя переключаться в другие вкладки (иначе будут потеряны все результаты работы плагина).

HackTab Web Security Tests

Тестирует прямо из браузера Chrome веб-приложения на межсайтовый скриптинг, SQL-инъекции и локальный инклуд файлов. Для разработчиков, тестеров качества программного обеспечения, тестеров на проникновение.

HackTab — это новый тип тестирования уязвимостей приложений. Он наблюдает за всеми коммуникациями между вашим браузером и сайтом, который вы тестируете, идентифицирует каждый параметр и тип даты для каждого параметра. Это позволяет HackTab повторно создавать новый обмен информации между вашим браузером и целевым доменом и тестировать весь HTTP ввод в приложение.

Видео, которое объясняет как работать с программой.

На данный момент может тестировать:
  • Отраженный XSS
  • SQL инъекции
  • Слепые SQL инъекции
  • Локальный инклуд файлов
Если страница плагина не открывается, то введите в строку браузера: chrome-extension://nipgnhajbnocidffkedmkbclbihbalag/hacktab.html

На данный момент, программа работает некорректно если в адресе домена поставить завершающий слэш (/), т. е. записывайте адрес без последнего слэша.

Мой вывод: у меня при попытке тестировать SQL инъекции приложение «зависает» что-ли — т. е. результата можно ждать долго и не дождаться. Другое что-то тестирует, но XSS и локальный инклуд — это не мои стихии.

Ссылка.

Hackers toolkit

Быстрое кодирование или декодирование строки конкретным методом шифрования или получение строки для конкретного метода веб хакинга.

Функции расширения:

Код:
[ 1 Одностороннее кодирование ]
   1.1 MD5 кодирование
   1.2 SHA-1 кодирование
   1.3 SHA-256 кодирование
   1.4 SHA-384 кодирование
   1.5 SHA-512 кодирование
   1.6 DES кодирование
[ 2 Кодирование ]
   2.1 Base-64 кодирование
   2.2 URL кодирование
   2.3 Leet кодирование
   2.4 Кодирование объектов HTML
   2.5 Кодирование Морзе
   2.6 ASCII-85 кодирование
   2.7 ROT-13 кодирование
[ 3 Декодеры ]
   3.1 Base-64 декодирование
   3.2 URL декодирование
   3.3 Leet декодирование
   3.4 Декодирование объектов HTML
   3.5 Декодирование Морзе
   3.6 ASCII-85 3.3 Leet декодирование
   3.7 ROT-13 3.3 Leet декодирование
[ 4 Брутфорсинг ]
   4.1 MD5 брутфорс
   4.2 SHA1 брутфорс
[ 5 Конвертеры ]
   5.1 ASCII в десятичные
   5.2 Десятичные в ASCII(через запятую)
   5.3 Десятичные в ASCII(через пробел)
   5.4 ASCII в двоичные
   5.5 Двоичные в ASCII
   5.6 ASCII в шестнадцатеричные
   5.7 Шестнадцатеричные в ASCII
   5.8 Двоичные в шестнадцатеричные
   5.9 Шестнадцатеричные в двоичные
[ 6 Строковые инструменты ]
   6.1 Обратная строка
   6.2 Удалить пробелы
   6.3 Длина строки
   6.4 Строки к верхнему регистру
   6.5 Строки к нижнему регистру
   6.6 Замена строк
[ 7 Инструменты SQL-инжекта ]
   7.1 Генератор подсчёта колонок
   7.2 Обход смешанного случая
   7.3 SQLi обход WAF (union)
   7.4 SQLi обход WAF (tables)
   7.5 SQLi обход WAF (columns)
   7.6 Основанная на ошибке SQLi (версия)
   7.7 Основанная на ошибке SQLi (база данных)
   7.8 Основанная на ошибке SQLi (таблицы)
   7.9 Основанная на ошибке SQLi (columns)
   7.10 Основанная на ошибке SQLi (данные)
   7.11 Слепая SQLi (подсчёт баз данных)
   7.12 Слепая SQLi (длина имени базы данных)
   7.13 Слепая SQLi (имя базы данных)
   7.14 Слепая SQLi (количество таблиц)
   7.15 Слепая SQLi (длина имени таблицы)
   7.16 Слепая SQLi (имя таблицы)
   7.17 Слепая SQLi (подсчёт колонок)
   7.18 Слепая SQLi (длина имени колонки)
   7.19 Слепая SQLi (имя колонки)
   7.20 Слепая SQLi (данные)
[ 8 Другие хакерские инструменты ]
   8.1 Локальный инклуд файлов (etc/passwd)
   8.2 Локальный инклуд файлов (proc/self/environ)
   8.3 Обход локального инклуда файлов (url кодирование)
   8.4 Обход локального инклуда файлов (../ замена)
   8.5 Обход локального инклуда файлов 2 (../ замена)
   8.6 Обход локального инклуда файлов (String.fromCharCode)
   8.7 Обход локального инклуда файлов (замена имени тэга)
Если кто-то не знает, что такое .

Мой вывод: думаю, вы уже и сами поняли, что приложение только конвертирует туда-сюда. Про помощь в поисках SQL-инъекций этим плагином я даже читал справку на официальном сайте — но ничего полезного этот плагин мне так и не дал.

Резюме

В целом вывод по подборке — какое-то разочарование. Здесь собраны «лучшие из лучших», а особо и похвалить-то некого. Эти отвратительно работающие, ещё более отвратительно документируемые поделки вызывают усталость. С расширениями для Firefox дела обстоят получше.

Самый полезный и рабочий из этих инструментов — Hide My Ass! Web Proxy. Cookie Manager тоже работает. Tamper Chrome — интересный и оригинальный инструмент для анализа жизни веб-приложения в реальном времени.

А всё остальное, пусть простят меня их разработчики, это просто мусор. Для анализа SQL-инжектов, XSS, локального и удалённого инклуда файлов есть специализированный софт в Kali Linux. Конечно, для его изучения нужно проявить некоторое усердие. Но это хотя бы принесёт результат.
 
Последнее редактирование:
  • Нравится
Реакции: Raspin и Marylin
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!