网络安全——FireFox浏览器渗透测试插件
Posted 賺钱娶甜甜
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全——FireFox浏览器渗透测试插件相关的知识,希望对你有一定的参考价值。
一、FireFox的典型插件(下载地址:Firefox 附加组件(zh-CN))
二、插件的通用安装方法
在kali虚拟机中打开Firefox浏览器
1、打开Add-on
2、在搜索栏中搜索要下载的插件
3、下载
例如,我下载Hackbar V2
会弹窗出来
下载成功后,在浏览器界面按F12,或者找到Web developer 中的 Web console
然后最右边会有一个Hackbar
Hackbar还有另外一个常用的版本(Hackbar Quantum),下载完成后会在右上角有个图标
其他插件的下载方法也是一样的
三、Hackbar的使用
1、Hackbar是一个简单的渗透测试工具,能用于测试简单的SQL注入,XSS、本地文件包含、XEE等漏洞
2、Hackbar的基本功能
(1)、load:加载、split:切分、Execute:执行 URL
(2)、对选定的字符串进行加密
(3)、对选定的字符串进行编/解码
(4)、提供三种数据库的查询语句
(5)、提供XSS攻击payload
(6)、提供本地文件包含(LFI)攻击payload
(7)、提供XXE攻击payload
(8)、传递POST表单
3、利用Hackbar进行SQL注入
(1)、利用sqli-labs靶机的第一关
(2)、load URL
(3)、在URL后面加上?id=1并执行,观察结果
(4)、可以按split URL 进行划分
(5)、把id=1,改成id=2,可以看到另外一个用户名
接下来我们拿sqli-labs第11关来练习
post功能的使用
勾选post data ,然后输入uname=admin&passwd=admin,然后点击execute
编码功能的使用
利用sqli-labs的第二关
利用编码功能对=进行编码解码,=编码成%3D,点击execute,结果不变
四、其他插件的使用
1、FoxyProxy插件的使用
FoxyProxy主要是配合Burpsuite进行抓包,不用每次都在浏览器设置代理,提高效率
下载成功后,在右上角会有如下图的图标
利用FoxyProxy配合Burpsuite进行抓包(靶机为pikachu的暴力破解关卡)
(1)、点击右上角FoxyProxy的图标
(2)、添加代理主机IP
添加代理IP和端口号,端口号因人而异,我的主机设置的是8080端口
添加完是这样子
注:这里要选择Burpsuite(8080)
(3)、打开Burpsuite进行抓包
2、User-Agent Switcher的使用
该插件用于改变HTTP头部中的User Agent,利用它可以实现隐藏(伪装)客户端浏览器的信息
下载完右上角会出现一个半个地球的图标
(1)、先使用User-Agent Switcher前的包
(2)、使用User-Agent Swicher,我使用安卓系统
再进行访问抓包看看结果
这样子就改变了我们的浏览器信息
3、HTTP Header Live
该工具支持即时查看网站的HTTP头
4、Wappalyzer的使用
这个工具用于分析目标网站所采用的平台架构、网站环境、服务器配置环境、Javascript框架、编程语言等参数
5、Flagfox的使用
Flagfox是一个有趣的插件,安装到浏览器后会显示一个国旗图标来告知Web服务器的位置,同时也包含whois,ping等功能
这篇文章就写到这里了!
将Firefox打造成渗透测试利器 | Firefox Security Toolkit
Firefox Security Toolkit可以把火狐浏览器转换成一个渗透测试套件,你信不?
实现方法
它会下载重要的扩展,并将之安装在浏览器上。通过在信息安全社区的调查,选择了一些有用的扩展,写了这款Firefox Security Toolkit工具。同时,它也可以下载Burp Suite证书和user-agent列表,用于User-Agent Switcher插件。通过一次点击,实现一个web应用测试浏览器。
与OWASP Mantra、Hcon STF的不同之处
OWASP Mantra和Hcon STF不会定期更新,而且要想开发和维护需要做很多工作。而对于Firefox Security Toolkit,我只会在需要的时候修复一些问题和bug,不需要其它额外的维护。用到的扩展是从Mozilla的Addons Store中下载的最新版本,给渗透测试人员提供最好的用户体验。
适用人群
Web应用渗透测试人员,信息安全研究者,以及其他对web应用安全感兴趣的人。
兼容性
这个项目目前支持Linux/Unix环境。
用法
bash ./firefox_security_toolkit.sh
视频演示
可用的插件:
Cookie Export/Import
Cookie Manager
Copy as Plain Text
Crypto Fox
CSRF-Finder
Disable WebRTC
FireBug
Fireforce
FlagFox
Foxy Proxy
HackBar
Live HTTP Headers
Multi Fox
PassiveRecon
Right-Click XSS
Tamper Data
User Agent Switcher
Wappalyzer
Web Developer
附加功能:
下载Burp Suite证书
下载user-agent列表,供User-Agent Switcher使用
*文章来源: github,FB小编felix编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
以上是关于网络安全——FireFox浏览器渗透测试插件的主要内容,如果未能解决你的问题,请参考以下文章