网站群建设的意义,庆云县建设局网站,免费发软文的网站,厦门百度推广排名优化Firefox是一个出自Mozilla组织的流行的web浏览器。Firefox的流行并不仅仅是因为它是一个好的浏览器#xff0c;而是因为它能够支持插件进而加强它自身的功能。Mozilla有一个插件站点#xff0c;在那里面有成千上万的#xff0c;非常有用的#xff0c;不同种类的插件。一些插…Firefox是一个出自Mozilla组织的流行的web浏览器。Firefox的流行并不仅仅是因为它是一个好的浏览器而是因为它能够支持插件进而加强它自身的功能。Mozilla有一个插件站点在那里面有成千上万的非常有用的不同种类的插件。一些插件对于***测试人员和安全分析人员来说是相当有用的。这些***测试插件帮助我们执行不同类型的***并能直接从浏览器中更改请求头部。对于***测试中涉及到的相关工作使用插件方式可以减少我们对独立工具的使用。在这篇简明的文章中我们列举了一些流行的和有趣的Firefox插件这些插件对***测试人员来说是非常有用的。这些插件是多样的有信息收集工具也有******。使用那些你认为有用的插件就可以了。这里面也有一些需要额外付费的插件比如Dominatorpro,它就需要从官方购买。请看下面的列表。对安全研究人员和***测试人员有用的Firefox 插件1.FoxyProxy StandardFoxyProxy 是一个高级的代理管理插件。它能够提高firefox的内置代理的兼容性。这儿也有一些其它的相似类型的代理管理插件。但是它可以提供更多的功能。基于URL的参数它可以从一个或多个代理之间转换。当代理在使用时它还可以显示一个动画的图标。假如你要想看这个工具使用过的代理你就可以查看它的日志。链接地址https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/2.FirebugFirebug是一个好的插件它集成了web开发工具。使用这个工具你可以编辑和调试页面上的HTML,CSS和javascript然后查看任何的更改所带来的影响。它能够帮助我们分析JS文件来发现XSS缺陷。用来发现基于DOM的XSS缺陷Firebug是相当有用的。链接地址https://addons.mozilla.org/en-US/firefox/addon/firebug/3.Web DeveloperWeb Developer是另外一个好的插件能为浏览器添加很多web开发工具。当然在******测试中也能帮上忙。链接地址https://addons.mozilla.org/de/firefox/addon/web-developer/4.User Agent Switcher该插件是在浏览器上增加一个菜单和一个工具条按钮。如果你想改变useragent, 使用这个工具条和按钮就可以了。该插件可以帮助我们在执行一些***时做到欺骗的目的。链接地址https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/5.Live HTTP Headers该插件是相当有用的***测试插件。它实时的现实每一个http请求和http响应的headers.当然你也可以通过点击位于左侧角落的按钮来保存header信息。多余的话就不多说了。重要性大家都知道。链接地址https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/6.Tamper DataTamper Data和上面的LiveHTTP Header类似。但Temper Data有header编辑的功能。使用该插件你可以查看编辑HTTP/HTTPSHeader和post 参数。它还可以通过更改headerdata被用于执行XSS和SQL注入***。链接地址https://addons.mozilla.org/en-US/firefox/addon/tamper-data/7.HackbarHackbar是一个简单的***测试工具。它能帮助我们测试简单的SQL注入和XSS漏洞。你不能使用它来执行标准的exploits但是你可以使用它来测试缺陷存在与否。你可以手动的提交带有GET和POST的表单数据。它还有加密和编码的功能。大部分情况下这个工具可以帮助我们使用编码的payload测试XSS缺陷。它还支持键盘快捷键方式来执行多种任务。我很确定大多数安全领域的伙计们都知道这个工具。这个工具能用来发现POSTXSS缺陷。因为它可以手动发送POSTData到任何你喜欢的页面。这样的话你就可以绕过客户端页面的验证。如果你的payload将在客户端编码你可以使用编码工具来编码你的payload,然后执行***。如果应用易受到XSS***我非常确信你将在Hackbar的帮助下找到这个缺陷点。链接地址https://addons.mozilla.org/en-US/firefox/addon/hackbar/8.WebSecurityWebSecurity是一个不错的***测试工具。我们已经在前面的文章中介绍过这个工具栏。WebSecurity可以检测大多数常见的web应用缺陷。这个工具可以容易的检测XSSSQL注入和其它web应用缺陷。不像其它所列举的工具websecurity完完全全是一个***测试工具。链接地址https://addons.mozilla.org/en-us/firefox/addon/websecurify/9.Add N Edit CookiesAdd N Edit Cookies是一个cookie编辑插件它允许你在浏览器中添加和编辑cookie数据。使用这个插件你可以轻松的手动添加session 数据。这个工具可以在当你拥有活动的用户的session数据时执行session 劫持***。编辑你的cookie添加数据并劫持该帐户。链接地址https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/10.XSS Me跨站点脚本***是最常见的web应用缺陷。在一个web应用中检测XSS缺陷这个插件应该是一个有用的工具。XSSMe常常用于发现反射型的XSS缺陷。它扫描页面中所有的表单然后在所选择的页面上使用预定义的XSSPayloads执行***。在扫描完成以后它会列出所有的页面这些页面会显示payload.这些页面可能易受到XSS***。现在你可以手动测试web页面去发现XSS缺陷存在与否。链接地址https://addons.mozilla.org/en-us/firefox/addon/xss-me/11.SQL Inject MeSQL Inject Me 也是一个不错的Firefox插件常常被用于查找Web应用的SQL注入缺陷。这个工具不能利用缺陷但是能够显示它是存在的。SQL注入是最具伤害的web应用缺陷之一它孕育***者查看更改编辑添加或删除数据库中的记录。这个工具向表单中发送一些未被过滤的字符串然后尝试搜索数据库的错误信息。如果它发现数据库的错误信息它就会标记该页面是易受***的页面。QA测试人员可以使用这个工具作为SQL注入的测试。链接地址https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/12.FlagFoxFlagFox 是另外一个有趣的插件。一旦安装到浏览器它就会显示一个国旗用来告知web服务器的位置。它同时也包含其它功能如whois,WOTscorecard 和 ping. 链接地址https://addons.mozilla.org/en-us/firefox/addon/flagfox/13.CrytoFoxCrytoFox是一个加密和解密的工具。它支持绝大多数的加密算法。因此你可以轻易的使用支持的加密算法加密和解密数据。这个插件有字典***的支持可以破解MD5的密码。虽然对它的评论不太好但它的作用还是令人满意的。链接地址https://addons.mozilla.org/en-US/firefox/addon/cryptofox/14.Access MeAccess Me是另外一个专业的安全测试插件。这个插件是由XSS Me 和SQLInject Me同一家公司开发的。该插件是用来测试web应用的访问缺陷的。这个工具是通过发送一些不同版本的页面请求来工作的。带有HTTPHEAD的请求和由SECCOM组成的请求将会被发送。一个有session和HEAD/SECCOM的集合同样也会被发送。链接地址https://addons.mozilla.org/en-US/firefox/addon/access-me/15.SecurityFocus Vulnerabilities search plugin该插件不是一个安全工具而是一个搜索插件让用户从SecurityFocus的数据库来搜索相关的缺陷点。链接地址https://addons.mozilla.org/en-us/firefox/addon/securityfocus-vulnerabilities-/16.Packet Storm search plugin这是另外一个搜索插件让用户从packetstormsecurity.org站点搜索工具和相关利用。这个站点提供最新的免费的安全工具利用和公告。链接地址https://addons.mozilla.org/en-us/firefox/addon/packet-storm-search-plugin/17.Offset Exploit-db Search这个插件和上面两个类似。它也是让用户从exploit-db.com站点搜索缺陷和列举的利用。当然这个站点提供的东东也是最新。链接地址https://addons.mozilla.org/en-us/firefox/addon/offsec-exploit-db-search/18.Snort IDS Rule Search这个插件也是一个搜索插件。用户可以利用这个插件从snort.org站点搜索SnortIDS rules. Snort是世界范围内部署最广泛的IDS/IPS技术。它是开源的网络***预防和检测系统超过400000用户在使用该技术。链接地址https://addons.mozilla.org/en-US/firefox/addon/snort-ids-rule-search/这里仅仅是一些你可以在web应用***测试中使用的插件。当然你不可能使用这些工具就可以完成你的***测试工作但这些工具是相当有用的可以减少你使用其它独立的工具。格言我只做有技术的搬运工译自http://resources.infosecinstitute.com/use-firefox-browser-as-a-penetration-testing-tool-with-these-add-ons/——————————————工欲善必先利其器firefox一直是各位***师必备的利器小编这里推荐34款firefox***测试辅助插件其中包含***测试、信息收集、代理、加密解密等功能。1FirebugFirefox的 五星级强力推荐插件之一不许要多解释2User Agent Switcher改变客户端的User Agent的一款插件3Hackbar攻城师必备工具提供了SQL注入和XSS***能够快速对字符串进行各种编码。4HttpFox监测和分析浏览器与web服务器之间的HTTP流量5Live HTTP Headers即时查看一个网站的HTTP头6Tamper Data查看和修改HTTP/HTTPS头和POST参数7ShowIP在状态栏显示当前页的IP地址、主机名、ISP、国家和城市等信息。8OSVDB开放源码的漏洞数据库检索9:Packet Storm search pluginPacket Storm提供的插件可以搜索漏洞、工具和exploits等。10Offsec Exploit-db Search搜索Exploit-db信息11Security Focus Vulnerabilities Search Plugin在Security Focus上搜索漏洞12Cookie Watcher在状态栏显示cookie13:Header Spy在状态栏显示HTTP头14GroundspeedManipulate the application user interface.15CipherFox在状态栏显示当前SSL/TLS的加密算法和证书16XSS MeXSS测试扩展17SQL Inject MeSQL注入测试扩展18Wappalyzer查看网站使用的应用程序19Poster发送与Web服务器交互的HTTP请求并查看输出结果20Javascript Deobfuscator显示网页上运行的Javascript代码21Modify Headers修改HTTP请求头22FoxyProxy代理工具23FlagFox可以在地址栏或状态栏上显示出当前网站所在国家的国旗也有更多的其他功能如双击国旗可以实现WOT功能鼠标中键点击是whois功能。当然用户可以在选项里设置快捷键实现诸如复制IP维基百科查询等功能。24Greasemonkeygreasemonkey 使你可以向任何网页添加DHTML语句(用户脚本)来改变它们的显示方式。就像CSS可以让你接管网页的样式而用户脚本(User Script)则可以让你轻易地控制网页设计与交互的任何方面。例如:* 使页面上显示的 URL 都成为可以直接点击进入的链接。
* 增强网页实用性使你经常访问的网站更符合你的习惯。
* 绕过网站上经常出现的那些烦人的 Bug。25Domain Details显示服务器类型、IP地址、域名注册信息等26WebsecurifyWebsecurify是WEB安全检测软件的Firefox的扩展可以针对Web应用进行安全评估27XSSed Search搜索XSSed.Com跨站脚本数据库28ViewStatePeeker查看asp.net的iewState29CryptoFox破解MD5、加密/解密工具30WorldIP显示服务器的IP、地址、PING、Traceroute、RDNS等信息31Server Spy识别访问的web服务器类型版本以及IP地址的插件32Default Passwords搜索CIRT.net默认密码数据库。33Snort IDS Rule Search搜索Snort的IDS规则做签名开发的应该很有用。34FireCATFireCAT (Firefox Catalog of Auditing exTensions)是一个收集最有效最有用的应用程序安全审计和风险评估工具的列表(这些工具以Firefox插件形式发布的),FireCAT中没有收集的安全工具类型包括:fuzzer,代理和应用程序扫描器.
