火狐插件web攻防常用组件Word文档下载推荐.docx
《火狐插件web攻防常用组件Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《火狐插件web攻防常用组件Word文档下载推荐.docx(12页珍藏版)》请在冰豆网上搜索。
3.2.1功能介绍9
3.3UserAgentSwitcher10
3.4FoxyProxy11
3.5XSSMe11
3.6AddNEditCookies11
3.7HackSearch11
3.8Wappalyzer11
3.9TamperData12
一、火狐浏览器介绍
Firefox是一个出自Mozilla组织的流行的web浏览器。
Firefox的流行并不仅仅是因为它是一个好的浏览器,而是因为它能够支持插件进而加强它自身的功能。
Mozilla有一个插件站点,在那里面有成千上万的,非常有用的,不同种类的插件。
一些插件对于渗透测试人员和安全分析人员来说是相当有用的。
这些渗透测试插件帮助我们执行不同类型的攻击,并能直接从浏览器中更改请求头部。
对于渗透测试中涉及到的相关工作,使用插件方式可以减少我们对独立工具的使用。
下面我们会列举了一些流行的和有趣的Firefox插件,这些插件对渗透测试人员来说是非常有用的。
这些插件是多样的,有信息收集工具,也有攻击工具。
使用那些你认为有用的插件就可以了。
这里面也有一些需要额外付费的插件
二、如何在火狐里添加组件
1、打开火狐浏览器,在左上角有一个橙色的“Firefox”的按钮,点击按钮弹出列表,在列表里面有一个“获取插件”,请单击获取插件。
如下图:
2、进入插件的管理页面,在左边有一个下载样子的图标,点击就可以获取火狐的插件,你可以通过搜索栏进行插件的搜索,或者,从下面的的分类推荐,或者插件精选里挑选一个插件。
3、找到你想下载的插件,点击进入插件的详细介绍界面,在界面里会出现一个绿色的按钮“添加到“Firefox”。
点击添加,火狐就开始下载,等待下载。
下载完毕,就会弹出提示你安装的窗口,等待三秒,点击立即安装。
进行插件的安装。
安装完毕,重启火狐浏览器。
右键就能找到你添加的插件。
三、安全研究常用的火狐插件
3.1Firebug
如下图所示,我们可以查看到firebug的Tab按钮,具体包括:
Console,HTML,CSS,Script,DOM,Net
3.1.1Console控制台
控制台能够显示当前页面中的javascript错误以及警告,并提示出错的文件和行号,方便调试,这些错误提示比起浏览器本身提供的错误提示更加详细且具有参考价值。
而且在调试Ajax应用的时候也是特别有用,你能够在控制台里看到每一个XMLHttpRequests请求post出去的参数、URL,http头以及回馈的内容,原本似乎在幕后黑匣子里运作的程序被清清楚楚地展示在你面前。
3.1.2html查看器
首先你看到的是已经经过格式化的HTML代码,它有清晰的层次,你能够方便地分辨出每一个标签之间的从属并行关系,标签的折叠功能能够帮助你集中精力分析代码。
源代码上方还标记出了DOM的层次,如图3所示,它清楚地列出了一个httml元素的parent、child以及root元素,配合Firebug自带的CSS查看器使用,会给div+css页面分析编写带来很大的好处。
你还可以在HTML查看器中直接修改HTML源代码,并在浏览器中第一时间看到修改后的效果,光凭这一点就会让许多页面设计师死心塌地地成为Firebug的粉丝了。
利用Inspect检查功能,我们还可以用鼠标在页面中直接选择一些区块,查看相应的HTML源代码和CSS样式表,真正的做到所见即所得,如果你使用了外部编辑器修改了当前网页,可以点击Firebug的reload图片重新载入网页,它会继续跟踪你之前用Inspect选中的区块,方便调试。
3.1.3CSS调试
Firebug的CSS调试器是专为网页设计师们量身定做的。
一个典型的应用就是页面中的一个区块位置显得有些不太恰当,它需要挪动几个象素。
这时候用CSS调试工具可以轻易编辑它的位置——你可以根据需要随意挪动象素。
如图3中正在修改一个区块的背景色。
3.1.4可视化的CSS尺标
我们可以利用Firebug来查看页面中某一区块的CSS样式表,如果进一步展开右侧Layout
tab的话,它会以标尺的形式将当前区块占用的面积清楚地标识出来,精确到象素,更让人惊讶的是,你能够在这个可视化的界面中直接修改各象素的值,页面上区块的位置就会随改动而变化。
在页面中某些元素出现错位或者面积超出预料值时,该功能能够提供有效的帮助,你可以籍此分析offset、margin、padding、size之间的关系,从而找出解决问题的办法。
如下图所示
3.1.5网络状况监控器
也许有一天,你的老板或者客户找到你,抱怨你制作的网页速度奇慢,你该如何应对?
你或许会说这可能是网络问题,或者是电脑配置问题,或者是程序太慢,或者直说是他们的人品问题?
不管怎么说,最后你可能被要求去解决这个有多种可能的问题。
网络状况监视器能帮你解决这个棘手问题。
Firebug的网络监视器同样是功能强大的,它能将页面中的CSS、javascript以及网页中引用的图片载入所消耗的时间以矩状图呈现出来,也许在这里你能一把揪出拖慢了你的网页的元凶,进而对网页进行调优,最后老板满意客户欢喜,你的饭碗也因此而牢固。
网络监视器还有一些其它细节功能,比如预览图片,查看每一个外部文件甚至是xmlHttpRequests请求的http头等等。
具体如图下图所示
3.1.6JavaScript调试器
这是一个很不错的javascript脚本调试器,占用空间不大,但是单步调试、设置断点、变量查看窗口一个不少。
正所谓麻雀虽小,五脏俱全。
如果你有一个网站已经建成,然而它的javascript有性能上的问题或者不是太完美,可以通过面板上的Profile来统计每段脚本运行的时间,查看到底是哪些语句执行时间过长,一步步排除问题。
3.1.7DOM查看器
DOM(Document
Object
Model)里头包含了大量的Object以及函数、事件,在从前,你要想从中查到需要的内容,绝非易事,这好比你去了一个巨大的图书馆,想要找到几本名字不太确切的小书,众多的选择会让你无所适从。
而使用Firebug的DOM查看器却能方便地浏览DOM的内部结构,帮助你快速定位DOM对象。
双击一个DOM对象,就能够编辑它的变量或值,编辑的同时,你可能会发现它还有自动完成功能,当你输入document.get之后,按下tab键就能补齐为document.getElementById,非常方便。
如果你认为补齐得不够理想,按下shift+tab又会恢复原状。
用了Firebug的DOM查看器,你的javascript从此找到了驱使的对象,Web开发也许就成了一件乐事。
具体如图所示
3.2Hackbar
Hackbar是一个简单的渗透测试工具。
它能帮助我们测试简单的SQL注入和XSS漏洞。
你不能使用它来执行标准的exploits,但是你可以使用它来测试缺陷存在与否。
你可以手动的提交带有GET和POST的表单数据。
它还有加密和编码的功能。
大部分情况下,这个工具可以帮助我们使用编码的payload测试XSS缺陷。
它还支持键盘快捷键方式来执行多种任务。
我很确定,大多数安全领域的伙计们都知道这个工具。
这个工具能用来发现POST
XSS缺陷。
因为它可以手动发送POSTData到任何你喜欢的页面。
这样的话,你就可以绕过客户端页面的验证。
如果你的payload将在客户端编码,你可以使用编码工具来编码你的payload,然后执行攻击。
如果应用易受到XSS攻击,我非常确信你将在Hackbar的帮助下找到这个缺陷点。
3.2.1功能介绍
Hackbar的界面如下,他提供了一些常用的功能如快速的生成sql注入语句,生成一般的xss及各种常用的解密,和代码编码。
此工具提供了很多web开发相关的命令,像urlencode,urldecode等常见的命令。
其中Enabkepostdata和Enablereferrer头是常用的,他们分别是上传POST上传里附带自己设定的特定数据,来referrer来源消息头伪造(因为这是客户端可控的)
3.3UserAgentSwitcher
该插件是在浏览器上增加一个菜单和一个工具条按钮。
如果你想改变user
agent,使用这个工具条和按钮就可以了。
该插件可以帮助我们在执行一些攻击时做到欺骗的目的。
浏览器的配置:
浏览器设置插件直接勾选即可:
3.4FoxyProxy
FoxyProxy是一个高级的代理管理插件。
它能够提高firefox的内置代理的兼容性。
这儿也有一些其它的相似类型的代理管理插件。
但是它可以提供更多的功能。
基于URL的参数,它可以从一个或多个代理之间转换。
当代理在使用时,它还可以显示一个动画的图标。
假如你要想看这个工具使用过的代理,你就可以查看它的日志。
(就是一个IP代理翻墙的…)
3.5XSSMe
跨站点脚本攻击是最常见的web应用缺陷。
在一个web应用中检测XSS缺陷,这个插件应该是一个有用的工具。
XSSMe常常用于发现反射型的XSS缺陷。
它扫描页面中所有的表单,然后在所选择的页面上使用预定义的XSSPayloads执行攻击。
在扫描完成以后,它会列出所有的页面,这些页面会显示payload.这些页面可能易受到XSS攻击。
现在你可以手动测试web页面去发现XSS缺陷存在与否
3.6AddNEditCookies
当我们利用xss方式或者其他方法获得了别人的cookie,此时我们就可以利用此工具进行更改cookie进行欺骗,从而劫持他人的网络回话
3.7HackSearch
Hacksearch这款插件是自己无意发现的,个人感觉还是蛮好用的,作为测试的一部分,我们已经看到,有很多的网页和网站由谷歌索引的文件是保密的,不应该是公开的。
这些东西,网上,即使你可能不知道可以作为理由恶意用户使用它对你或侵入你的网站。
插件,HackSearch可用
3.8Wappalyzer
Wappalyzer是一款框架查看器,并智能的分析某个web平台所使用的开发技术及各种环境平台进行一个综合显示.
运行环境的分析:
3.9TamperData
TamperData简单易用,功能强大,可以用来查看和修改HTTP/HTTPS的头部和POST参数;
可以用来跟踪HTTP请求和响应并记时;
可以对WEB站点进行某些安全测试,从而为调试WEB配置带来了极大的便利,是网站维护人员不可多得的实用工具。
界面如下: