Наш партнер GENESIS HACKSPACE

Хакспейс: Клуб — физическое место, где собираются увлеченные техникой, IT, электроникой, роботами и физикой люди. Первая сеть бесплатных хакспейсов в г.Тверь и области.

Подобная подборка для Google Chrome в статье "Хакерские плагины для Chrome".

Подборка плагинов для тестировщиков на проникновение подсмотренная в Dojo. Знакомство с будущими целями нередко начинается в браузере. Глядя на сайт в окне браузера можно предположить используемый движок, можно попробовать повставлять кавычки и т. д.

Кроме этого, браузер может стать полноценным инструментом пентестера, не только помочь в просмотре сайта, но и выполнить разведку или даже успешную атаку на сайт.

Ниже перечислены плагины, которые придуться очень кстати для веб-местеров, тестеров на проникновение, а также всех, кто интересуется вопросами безопасности веб-приложений.

Все плагины я искал прямо в браузере (Дополнение → Получить расширения). Но с некоторыми возникли проблемы: 2 плагина не были найдены по ключевым словам (у меня бета-версия Firefox), хотя они и присутствуют в официальном репозитории плагинов Firefox — их можно скачать со страницы плагина, ссылка на которую дана. При этом такие плагины имеют статус «подписаны». Один же плагин отсутствует в официальном рипозитории, поэтому его необходимо ставить с сайта разработчика.

0. Включение панели меню в Firefox

Вот вы сейчас, наверное, будете надомной смеяться, а я действительно потратил много времени, чтобы найти, куда я поустанавливал эти все расширения и как их запустить/отобразить (я пользователь Chrome ещё с того времени, когда он был в бета-версии и когда о нём никто не знал почти).

Нам нужно включить панель меню. Для этого нужно навести курсор на верхнюю строчку Firefox, нажать правую кнопку и выбрать «Панель меню». Наши установленные плагины будут появляться в пункте меню «Инструменты».

1. Cookies Manager+

Cookies Manager позволяет просматривать, редактировать и создавать кукиз, а также редактировать множество кукиз за раз и делать их резервные копии/восстанавливать. Это расширение изначально основывается на устаревшем (и, возможно, покинутом) Add N Edit Cookies v0.2.1.3 от goodwill.

Новое в этой ветке по сравнению с оригинальной Add N Edit Cookies:

  • полная замена встроенного просмотрщика куки (опционально)
  • возможность изменения домена, пути и имени куки
  • возможность редактировать множество кукиз за раз
  • возможность сохранять новое куки или заменить оригинальное куки когда изменён домен, путь или имя
  • опция для автоматического мониторинга изменения кукиз и обновления информации в окне
  • опция для фильтрации авто применения во время набора текста
  • настройка какого рода информации из куки вы хотите видеть, изменение порядка, показать/спрятать поля и колонки
  • экспорт информации куки в буфер обмена или в файл с использованием настраиваемых шаблонов
  • резервное копирование/восстановление всех или только отобранных кукиз.
  • возможность вручную изменять дату истечения напрямую в поля "expire", больше не нужно выбирать "new date"
  • окно "Add cookie" автоматически заполняет поля домен и путь, основываясь на выбранной куки (если такая есть)
  • а также с десяток других изменений

2. Firebug

Официальное описание на русском:

Firebug интегрируется в Firefox для того, чтобы принести изобилие средств разработки на кончики Ваших пальцев, в то время как Вы путешествуете по сети. Вы можете редактировать, выполнять отладку и просматривать CSS, HTML и JavaScript в режиме реального времени на любой странице в сети…

3. MM3-ProxySwitch

Переключение между прямым интернет соединением и несколькими настройками прокси.

С Proxy Switch вы можете переключаться между прямым соединением в Интернет и другими прокси настройками в один клик.

После установки нажмите правой кнопкой мыши на панель инструментов или навигационную панель — как она там теперь называется, нажмите «Редактировать» и перетащите символ MM3 на панель инструментов.

4. Selenium IDE

Selenium IDE — это интегрированная среда разработчика для скриптов Selenium. Она реализована как расширение Firefox и позволяет вам записывать, редактировать и отлаживать тесты. Selenium IDE включает целое Selenium Core, позволяющее легко и быстро записывать и воспроизводить тесты в текущем окружении, котором они и будут запускаться.

Selenium IDE — это не только инструмент записи, это настоящая IDE. Вы можете выбрать использовать её для функций записи, а можете редактировать вручную ваши собственные скрипты. С функциями автодополнения и удобной навигацией по командам, Selenium IDE — это идеальное окружение для создания тестов Selenium, не важно какого рода тесты вы предпочитаете.

Для установки перейдите на страницу http://docs.seleniumhq.org/download/, найдите там секцию Selenium IDE (это непросто!), скачайте расширение для Firefox и установите его.

Также установите расширения:

  • Selenium IDE Button
  • Selenium IDE — SelBlocks
  • Selenium IDE: PHP Formatters

5. SQL Inject Me

Это расширение есть в официальном репозитории, но оно не ищется из браузера. Адрес расширения: https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/. Установите его с этой страницы.

Это расширение для тестирования на уязвимость SQL-инжект.

Инструмент работает отправляя ваши формы с подставленными значениями формы, которые позволяют выполнить атаку SQL-инжект.

Инструмент отправляет строки (последовательности символов) через поля формы, а затем следит за ответом сервера в поиска сообщений об ошибках от базы данных, инструмент сам разбирает HTML страницы.

6. Tamper Data

Просмотр и модификация заголовков HTTP/HTTPS. Используйте Tamper Data для просмотра и модификации заголовков HTTP/HTTPS и параметров post.

7. User Agent Switcher

Добавляет пункт в меню и кнопку в тулбар для переключения пользовательского агента браузера. На выбор представлены самые популярные браузеры, либо можно вручную прописать характеристики пользовательского агента.

8. Web Developer

Добавляет меню и тулбар с различными инструментами веб-разработчика.

9. XSS Me

Также не сумел найти в браузере. Официальная страничка: https://addons.mozilla.org/en-us/firefox/addon/xss-me

Межсайтовый скриптинг (XSS) — это распространённая уязвимость в сегодняшних веб-приложениях. Уязвимость XSS может стать причиной серьёзного ущерба веб-приложению. Выявление уязвимостей XSS на ранних этапах процесса разработки поможет защитить веб-приложения он наличия ненужных недостатков.

XSS-Me НЕ выявляет уже подложенные XSS атаки. Инструмент работает следующим образом: отправляет через ваши HTML подстановки в поля формы, которые представляют XSS атаки. Если в результате HTML страница выполняет определённый JavaScript код (устанавливается величина document.vulnerable=true), тогда инструмент помечает эту страницу как уязвимую к данной строке XSS.

10. HackBar

Ещё одно расширение, но которое я подсмотрел не в Dojo, а в каком-то видео.

Этот тулбар помогает вам найти и провести тест на SQL-инжекты. Этот турбар поможет вам протестировать SQL-инъекции, XSS дыры и безопасность сайта.

Преимущества:

  • Даже самые сложные адреса (url) будут читаться
  • Фокус будет держаться на текстовой области, поэтому после выполнения url (Ctrl+Enter) вы можете просто перейти к печатанию / тестированию.
  • url в текстовой области не подвержено редиректам.
  • Можно использовать как блокнот 🙂
  • Полезный инструмент для декодирования на лету uu/url и прочего.
  • Все функции работают на выделенном в данный момент тексте.
  • Хеширование MD5/SHA1/SHA256
  • Быстрые сочетания клавишь MySQL/MS SQL Server/Oracle
  • Полезные функции XSS
  • Ну и многое другое — пробуйте сами.

Быстрые сочетания клавишь:

  • Загрузить url ( Alt + A )
  • Разделить url ( Alt + S )
  • Выполнить ( Alt + X, Ctrl + Enter )
  • INT -1 ( Alt — )
  • INT +1 ( Alt + )
  • HEX -1 ( Ctrl Alt — )
  • HEX +1 ( Ctrl + Alt + )
  • MD5 Hash ( Alt + M )
  • MySQL CHAR() ( Alt + Y )
  • MS SQL Server CHAR() ( Alt + Q )

Похожие темы

Цикл статей Web Application Pentesting (Пентестинг... https://codeby.net/forum/threads/wap-web-application-pentesting-by-darknode.58640/ У меня появилось желание посвятить цикл статей тематике Web Appl...
Теперь Adobe Photoshop CS6 работает на Linux!... Ещё один прорыв. После успеха с запуском Photoshop Lightroom 5 на Linux, было решено не останавливаться и взялись за Adobe Photoshop CS6. Всё по...
Читаем вместе: Тестирование на веб проникновение с... Книга авторов Joseph Muniz и Aamir Lakhani «Web Penetration Testing with Kali Linux» выпущена в 2013 году. Книга рассчитана на самых нач...
Установка VirtualBox Guest Additions на Kali Linux... Возможно вас заинтересует новая актуальная статья "Установка Дополнений гостевой ОС VirtualBox для Kali Linux 2.0". Здесь описано реше...
Аргументы командной строки ZMap... Перейти к содержанию полного руководства пользователя ZMap на русском языке. Опции сканирования Сетевые настройки Опции исследования ...