📌  相关文章
📜  用于道德黑客和安全研究的 8 个有用的 Firefox 扩展

📅  最后修改于: 2022-05-13 01:58:42.923000             🧑  作者: Mango

用于道德黑客和安全研究的 8 个有用的 Firefox 扩展

在对任何基于 Web 的应用程序进行渗透测试时,Mozilla Firefox 浏览器是几乎所有道德黑客和安全研究人员最喜欢的浏览器。 Mozilla Firefox 已证明自己是比 Chrome、Safari、Opera 等各种浏览器功能更强大的浏览器。其受欢迎的主要原因之一是更多工具功能,包括 Web 开发人员工具、开发人员扩展程序、任务管理器等等.尽管道德黑客和安全研究人员可以使用几个扩展来自动化或简化他们的测试,但在本文中,我们将提到一些常见且最有益的扩展,这些扩展对几乎所有道德黑客和安全研究人员都有用。

8-有用的-Firefox-Extensions-for-Ethical-Hacking-and-Security-Research

让我们从列表开始:

1. Wappalyzer

信息收集是道德黑客过程的第一步。顾名思义,信息收集对于接近我们的目标很重要。在测试任何基于 Web 的应用程序时,有一个众所周知的策略“收集的越多,攻击就越容易”。因此,有关我们目标的信息有助于测试的每个阶段。因此,要获取有关目标应用程序的信息,Wappalyzer Extension 对安全测试人员有很大帮助。我们可以获取应用程序使用的编程语言、移动框架、安全性、JavaScript 库、Web 服务器信息等信息。

2. HackBar

在测试基于 Web 的应用程序时,请求和响应的拦截是一个非常重要的概念。为了检查参数篡改,无速率限制漏洞,您总是需要处理请求和响应,因此 HackBar Extension 成为此拦截的重点。开发人员或安全研究人员使用 HackBar 扩展来自定义 HTTP 请求。用户负责在域站点上执行的代码。您可以通过将恶意查询插入输入并执行来测试基于 Web 的应用程序的 XSS 或 SQL 注入漏洞。所以为了让这件事变得简单,HackBar 帮了大忙。

3. 篡改数据

你用过 Burp Suite 吗?如果是,那么您肯定已经多次更改 HTTP、HTTPS 请求以查找任何错误,例如开放重定向等。因此,Tamper Data 类似于 Burp 套件,用于监视和修改通常不可见的 HTTP 和 HTTPS 请求和响应给用户。我们可以说 Tamper Data 是 Burp Suite 的一部分。大多数安全研究人员都会进行模糊测试,为此,我们经常不得不通过更改标头、修改参数等来处理请求和响应。因此,为此,Tamper Data 将为您提供很多帮助。

4. base64-解码器

如今,许多基于 Web 的应用程序使用加密数据来存储、通信或密码。但是道德黑客和安全研究人员可以解密这些加密数据并读出内容以解密 base64 中的加密数据。因此,如果 Security Researcher 获得任何加密数据,他只需单击一下即可使用此 base64 解码器轻松解密。我们只需要选择哈希码或加密数据并点击鼠标右键即可;只需单击一下,您将获得解密数据或所选输入的结果。

5. Cookie 快速管理器

Cookie 是存储在客户端的重要且小的数据片段。因此,可以使用 Cookie 数据进行各种类型的攻击,例如 Cookie 劫持、Cookie 窃取等。因此 Cookie 快速管理器编辑器允许您查看、编辑、创建、删除、备份、恢复 Cookie 并通过特定域名搜索它们。 Cookie 快速管理器可让您在互联网上维护您的隐私和安全。由于您可以编辑和删除 cookie,因此您的隐私更加安全,因为您不易受到劫持攻击。 Cookie 快速管理器扩展允许您导入外部 cookie 或导出不同浏览器的 cookie。

6. 简单的 XSS

XSS 或跨站点脚本是许多 Web 应用程序中最常见的漏洞。作为一名渗透测试人员,在测试 Web 应用程序的网页功能时,您必须遇到输入字段,因此这些输入文件是数据进入数据库或 Web 服务器的载体。插入这些字段的信息在服务器端存储或执行。那么如果我们插入一些恶意查询或执行一些危险活动的代码怎么办?这可能导致 XSS 漏洞,该漏洞可以是任何类型,例如存储或反射。 Easy XSS 是提供上下文菜单的扩展,您可以从中轻松地将 XSS 有效负载添加到字段中并测试 XSS 应用程序,而不是去 Burp Suite 并加载攻击。

7. 端口检查工具

端口扫描是侦察和扫描阶段的关键步骤。一些敏感内容可以在端口上处于活动状态,这并不常见。普通用户无法了解此端口及其上托管的信息。尽管如此,渗透测试人员应该知道如何检查 Web 应用程序上的端口枚举并发现 Web 应用程序上打开的各种端口。端口检查器工具对于渗透测试人员和漏洞赏金猎人来说非常方便。您可以检查任何 Web 应用程序上的可用端口,而无需使用 Network Mapper 或 Nmap 手动扫描应用程序。这个扩展很酷的一点是,如果防火墙在目标网络上,它可以检查或扫描端口。

8. NoScript 安全套件

进攻端是渗透测试员职业的必备,但防守端也是必不可少的。保存任何计算机系统或 Web 网络都是一项具有挑战性的工作。 XSS 是在 Web 应用程序上执行机会更大的漏洞。网络威胁的预防或缓解可以引起社区和公众的注意。因此,为了避免脚本攻击,有一个名为 NoScript Security Suite 的出色扩展。 NoScript Security Suite 扩展允许唯一受信任的站点执行 JavaScript 内容。可以说,这个扩展是恶意 ScriptScript 和 Web 应用程序之间的屏障。它将只启用真正的区域来执行 JavaScript;它将阻止所有其他站点的脚本。在下面的屏幕截图中,您可以看到我们已将 geeksforgeeks.org 添加为不受信任的站点。因此 JavaScript 不会在本网站上执行。由于 geeksforgeeks.org 网站由于 JavaScript 而具有默认的暗模式,但此扩展已阻止 JavaScript。

其他有用的扩展:

  • 代理 SwitchyOmega
  • 渗透测试套件
  • 油猴
  • 注射器
  • uBlock 起源