Подобная подборка для Google Chrome в статье "Хакерские плагины для Chrome".

Подборка плагинов для тестировщиков на проникновение подсмотренная в Dojo. Знакомство с будущими целями нередко начинается в браузере. Глядя на сайт в окне браузера можно предположить используемый движок, можно попробовать повставлять кавычки и т. д.

Кроме этого, браузер может стать полноценным инструментом пентестера, не только помочь в просмотре сайта, но и выполнить разведку или даже успешную атаку на сайт.

Ниже перечислены плагины, которые придуться очень кстати для веб-местеров, тестеров на проникновение, а также всех, кто интересуется вопросами безопасности веб-приложений.

Все плагины я искал прямо в браузере (Дополнение → Получить расширения). Но с некоторыми возникли проблемы: 2 плагина не были найдены по ключевым словам (у меня бета-версия Firefox), хотя они и присутствуют в официальном репозитории плагинов Firefox — их можно скачать со страницы плагина, ссылка на которую дана. При этом такие плагины имеют статус «подписаны». Один же плагин отсутствует в официальном рипозитории, поэтому его необходимо ставить с сайта разработчика.

0. Включение панели меню в Firefox

Вот вы сейчас, наверное, будете надомной смеяться, а я действительно потратил много времени, чтобы найти, куда я поустанавливал эти все расширения и как их запустить/отобразить (я пользователь Chrome ещё с того времени, когда он был в бета-версии и когда о нём никто не знал почти).

Нам нужно включить панель меню. Для этого нужно навести курсор на верхнюю строчку Firefox, нажать правую кнопку и выбрать «Панель меню». Наши установленные плагины будут появляться в пункте меню «Инструменты».

1. Cookies Manager+

Cookies Manager позволяет просматривать, редактировать и создавать кукиз, а также редактировать множество кукиз за раз и делать их резервные копии/восстанавливать. Это расширение изначально основывается на устаревшем (и, возможно, покинутом) Add N Edit Cookies v0.2.1.3 от goodwill.

Новое в этой ветке по сравнению с оригинальной Add N Edit Cookies:

  • полная замена встроенного просмотрщика куки (опционально)
  • возможность изменения домена, пути и имени куки
  • возможность редактировать множество кукиз за раз
  • возможность сохранять новое куки или заменить оригинальное куки когда изменён домен, путь или имя
  • опция для автоматического мониторинга изменения кукиз и обновления информации в окне
  • опция для фильтрации авто применения во время набора текста
  • настройка какого рода информации из куки вы хотите видеть, изменение порядка, показать/спрятать поля и колонки
  • экспорт информации куки в буфер обмена или в файл с использованием настраиваемых шаблонов
  • резервное копирование/восстановление всех или только отобранных кукиз.
  • возможность вручную изменять дату истечения напрямую в поля "expire", больше не нужно выбирать "new date"
  • окно "Add cookie" автоматически заполняет поля домен и путь, основываясь на выбранной куки (если такая есть)
  • а также с десяток других изменений

2. Firebug

Официальное описание на русском:

Firebug интегрируется в Firefox для того, чтобы принести изобилие средств разработки на кончики Ваших пальцев, в то время как Вы путешествуете по сети. Вы можете редактировать, выполнять отладку и просматривать CSS, HTML и JavaScript в режиме реального времени на любой странице в сети…

3. MM3-ProxySwitch

Переключение между прямым интернет соединением и несколькими настройками прокси.

С Proxy Switch вы можете переключаться между прямым соединением в Интернет и другими прокси настройками в один клик.

После установки нажмите правой кнопкой мыши на панель инструментов или навигационную панель — как она там теперь называется, нажмите «Редактировать» и перетащите символ MM3 на панель инструментов.

4. Selenium IDE

Selenium IDE — это интегрированная среда разработчика для скриптов Selenium. Она реализована как расширение Firefox и позволяет вам записывать, редактировать и отлаживать тесты. Selenium IDE включает целое Selenium Core, позволяющее легко и быстро записывать и воспроизводить тесты в текущем окружении, котором они и будут запускаться.

Selenium IDE — это не только инструмент записи, это настоящая IDE. Вы можете выбрать использовать её для функций записи, а можете редактировать вручную ваши собственные скрипты. С функциями автодополнения и удобной навигацией по командам, Selenium IDE — это идеальное окружение для создания тестов Selenium, не важно какого рода тесты вы предпочитаете.

Для установки перейдите на страницу http://docs.seleniumhq.org/download/, найдите там секцию Selenium IDE (это непросто!), скачайте расширение для Firefox и установите его.

Также установите расширения:

  • Selenium IDE Button
  • Selenium IDE — SelBlocks
  • Selenium IDE: PHP Formatters

5. SQL Inject Me

Это расширение есть в официальном репозитории, но оно не ищется из браузера. Адрес расширения: https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/. Установите его с этой страницы.

Это расширение для тестирования на уязвимость SQL-инжект.

Инструмент работает отправляя ваши формы с подставленными значениями формы, которые позволяют выполнить атаку SQL-инжект.

Инструмент отправляет строки (последовательности символов) через поля формы, а затем следит за ответом сервера в поиска сообщений об ошибках от базы данных, инструмент сам разбирает HTML страницы.

6. Tamper Data

Просмотр и модификация заголовков HTTP/HTTPS. Используйте Tamper Data для просмотра и модификации заголовков HTTP/HTTPS и параметров post.

7. User Agent Switcher

Добавляет пункт в меню и кнопку в тулбар для переключения пользовательского агента браузера. На выбор представлены самые популярные браузеры, либо можно вручную прописать характеристики пользовательского агента.

8. Web Developer

Добавляет меню и тулбар с различными инструментами веб-разработчика.

9. XSS Me

Также не сумел найти в браузере. Официальная страничка: https://addons.mozilla.org/en-us/firefox/addon/xss-me

Межсайтовый скриптинг (XSS) — это распространённая уязвимость в сегодняшних веб-приложениях. Уязвимость XSS может стать причиной серьёзного ущерба веб-приложению. Выявление уязвимостей XSS на ранних этапах процесса разработки поможет защитить веб-приложения он наличия ненужных недостатков.

XSS-Me НЕ выявляет уже подложенные XSS атаки. Инструмент работает следующим образом: отправляет через ваши HTML подстановки в поля формы, которые представляют XSS атаки. Если в результате HTML страница выполняет определённый JavaScript код (устанавливается величина document.vulnerable=true), тогда инструмент помечает эту страницу как уязвимую к данной строке XSS.

10. HackBar

Ещё одно расширение, но которое я подсмотрел не в Dojo, а в каком-то видео.

Этот тулбар помогает вам найти и провести тест на SQL-инжекты. Этот турбар поможет вам протестировать SQL-инъекции, XSS дыры и безопасность сайта.

Преимущества:

  • Даже самые сложные адреса (url) будут читаться
  • Фокус будет держаться на текстовой области, поэтому после выполнения url (Ctrl+Enter) вы можете просто перейти к печатанию / тестированию.
  • url в текстовой области не подвержено редиректам.
  • Можно использовать как блокнот 🙂
  • Полезный инструмент для декодирования на лету uu/url и прочего.
  • Все функции работают на выделенном в данный момент тексте.
  • Хеширование MD5/SHA1/SHA256
  • Быстрые сочетания клавишь MySQL/MS SQL Server/Oracle
  • Полезные функции XSS
  • Ну и многое другое — пробуйте сами.

Быстрые сочетания клавишь:

  • Загрузить url ( Alt + A )
  • Разделить url ( Alt + S )
  • Выполнить ( Alt + X, Ctrl + Enter )
  • INT -1 ( Alt — )
  • INT +1 ( Alt + )
  • HEX -1 ( Ctrl Alt — )
  • HEX +1 ( Ctrl + Alt + )
  • MD5 Hash ( Alt + M )
  • MySQL CHAR() ( Alt + Y )
  • MS SQL Server CHAR() ( Alt + Q )

Похожие темы

Gufw – графический интерфейс для настройки файерво... Брандмауэр Gufw — графическая оболочка GUI , работающая на UFW (Uncomplicated Firewall). Установка Gufw в Debian и производные (Kali, Mint, Ubuntu и ...
Защита от Meterpreter с помощью AntyPwny... https://codeby.net/forum/threads/soft-dlja-zaschity-ot-meterpreter.57920/ Всем привет! В этой статье я хотел бы коснуться темы защиты от Metasploit...
Релиз ParrotSec 3.2 Full Edition https://codeby.net/forum/threads/novyj-reliz-parrotsec-os.58128/ Всем привет! На днях вышел новый релиз Parrot Security OS. Пофиксили некоторые ...
Сеть Белого Дома США (White House) была взломана... В то время как несекретные сети были нарушены, чиновники говорят, что нет никаких данных о том, что был получен доступ в секретные сети. Вашингт...
Установка игры Rift на Linux и Mac OS X... Сразу хочу сказать, что этот анонс чуть опережает своё время — ещё продолжается тестирование, устранение проблем для полноценной и стабильной ...