對安全研究人員和滲透測試人員有用的Firefox 插件

時間 2019-12-04

原文原文鏈接

1.FoxyProxy Standardjavascript

FoxyProxy 是一個高級的代理管理插件。它可以提升firefox的內置代理的兼容性。這兒也有一些其它的類似類型的代理管理插件。可是它能夠提供更多的功能。基於URL的參數，它能夠從一個或多個代理之間轉換。當代理在使用時，它還能夠顯示一個動畫的圖標。假如你要想看這個工具使用過的代理，你就能夠查看它的日誌。連接地址：https://addons.mozilla.org/en...java

2.Firebugweb

Firebug是一個好的插件，它集成了web開發工具。使用這個工具，你能夠編輯和調試頁面上的HTML,CSS和javascript，而後查看任何的更改所帶來的影響。它可以幫助咱們分析JS文件來發現XSS缺陷。用來發現基於DOM的XSS缺陷，Firebug是至關有用的。連接地址：https://addons.mozilla.org/en...算法

3.Web Developersql

Web Developer是另一個好的插件，能爲瀏覽器添加不少web開發工具。固然在滲透滲透測試中也能幫上忙。連接地址：https://addons.mozilla.org/de...數據庫

4.User Agent Switcher瀏覽器

該插件是在瀏覽器上增長一個菜單和一個工具條按鈕。若是你想改變user
agent, 使用這個工具條和按鈕就能夠了。該插件能夠幫助咱們在執行一些攻擊時作到欺騙的目的。連接地址：https://addons.mozilla.org/en...安全

5.Live HTTP Headers服務器

該插件是至關有用的滲透測試插件。它實時的現實每個http請求和http響應的headers.固然你也能夠經過點擊位於左側角落的按鈕來保存header信息。多餘的話就很少說了。重要性你們都知道。連接地址：https://addons.mozilla.org/en...cookie

6.Tamper Data

Tamper Data和上面的Live
HTTP Header相似。但Temper Data有header編輯的功能。使用該插件，你能夠查看，編輯HTTP/HTTPS
Header和post 參數。它還能夠經過更改header
data被用於執行XSS和SQL注入攻擊。連接地址：https://addons.mozilla.org/en...

7.Hackbar

Hackbar是一個簡單的滲透測試工具。它能幫助咱們測試簡單的SQL注入和XSS漏洞。你不能使用它來執行標準的exploits，可是你可使用它來測試缺陷存在與否。你能夠手動的提交帶有GET和POST的表單數據。它還有加密和編碼的功能。大部分狀況下，這個工具能夠幫助咱們使用編碼的payload測試XSS缺陷。它還支持鍵盤快捷鍵方式來執行多種任務。我很肯定，大多數安全領域的夥計們都知道這個工具。這個工具能用來發現POST
XSS缺陷。由於它能夠手動發送POST
Data到任何你喜歡的頁面。這樣的話，你就能夠繞過客戶端頁面的驗證。若是你的payload將在客戶端編碼，你可使用編碼工具來編碼你的payload,而後執行攻擊。若是應用易受到XSS攻擊，我很是確信你將在Hackbar的幫助下找到這個缺陷點。連接地址：https://addons.mozilla.org/en...

8.WebSecurity

WebSecurity是一個不錯的滲透測試工具。咱們已經在前面的文章中介紹過這個工具欄。WebSecurity能夠檢測大多數常見的web應用缺陷。這個工具能夠容易的檢測XSS，SQL注入和其它web應用缺陷。不像其它所列舉的工具，websecurity完徹底全是一個滲透測試工具。連接地址：https://addons.mozilla.org/en...

9.Add N Edit Cookies

Add N Edit Cookies是一個cookie編輯插件，它容許你在瀏覽器中添加和編輯cookie數據。使用這個插件，你能夠輕鬆的手動添加session 數據。這個工具能夠在當你擁有活動的用戶的session數據時執行session 劫持攻擊。編輯你的cookie添加數據並劫持該賬戶。連接地址：https://addons.mozilla.org/en...

10.XSS Me

跨站點腳本攻擊是最多見的web應用缺陷。在一個web應用中檢測XSS缺陷，這個插件應該是一個有用的工具。XSS
Me經常用於發現反射型的XSS缺陷。它掃描頁面中全部的表單，而後在所選擇的頁面上使用預約義的XSS
Payloads執行攻擊。在掃描完成之後，它會列出全部的頁面，這些頁面會顯示payload.這些頁面可能易受到XSS攻擊。如今你能夠手動測試web頁面去發現XSS缺陷存在與否。連接地址：https://addons.mozilla.org/en...

11.SQL Inject Me

SQL Inject Me 也是一個不錯的Firefox插件，經常被用於查找Web應用的SQL注入缺陷。這個工具不能利用缺陷，可是可以顯示它是存在的。SQL注入是最具傷害的web應用缺陷之一，它孕育攻擊者查看，更改，編輯，添加或刪除數據庫中的記錄。這個工具向表單中發送一些未被過濾的字符串，而後嘗試搜索數據庫的錯誤信息。若是它發現數據庫的錯誤信息，它就會標記該頁面是易受攻擊的頁面。QA測試人員可使用這個工具做爲SQL注入的測試。連接地址：https://addons.mozilla.org/en...

12.FlagFox

FlagFox 是另一個有趣的插件。一旦安裝到瀏覽器，它就會顯示一個國旗用來告知web服務器的位置。它同時也包含其它功能，如：whois,WOT
scorecard 和 ping. 連接地址：https://addons.mozilla.org/en...

13.CrytoFox

CrytoFox是一個加密和解密的工具。它支持絕大多數的加密算法。所以你能夠輕易的使用支持的加密算法加密和解密數據。這個插件有字典攻擊的支持，能夠破解MD5的密碼。雖然對它的評論不太好，但它的做用仍是使人滿意的。連接地址：https://addons.mozilla.org/en...

14.Access Me

Access Me是另一個專業的安全測試插件。這個插件是由XSS Me 和SQL
Inject Me同一家公司開發的。該插件是用來測試web應用的訪問缺陷的。這個工具是經過發送一些不一樣版本的頁面請求來工做的。帶有HTTP
HEAD的請求和由SECCOM組成的請求將會被髮送。一個有session和HEAD/SECCOM的集合一樣也會被髮送。連接地址：https://addons.mozilla.org/en...

15.SecurityFocus Vulnerabilities search plugin

該插件不是一個安全工具，而是一個搜索插件，讓用戶從Security
Focus的數據庫來搜索相關的缺陷點。連接地址：https://addons.mozilla.org/en...

16.Packet Storm search plugin

這是另一個搜索插件，讓用戶從packetstormsecurity.org站點搜索工具和相關利用。這個站點提供最新的免費的安全工具，利用和公告。連接地址：https://addons.mozilla.org/en...

17.Offset Exploit-db Search

這個插件和上面兩個相似。它也是讓用戶從exploit-db.com站點搜索缺陷和列舉的利用。固然這個站點提供的東東也是最新。連接地址：https://addons.mozilla.org/en...

18.Snort IDS Rule Search

這個插件也是一個搜索插件。用戶能夠利用這個插件從snort.org站點搜索Snort
IDS rules. Snort是世界範圍內部署最普遍的IDS/IPS技術。它是開源的網絡入侵預防和檢測系統，超過400000用戶在使用該技術。連接地址：https://addons.mozilla.org/en...firefox下相關神器介紹：《firefox十大安全插件》《PenQ – 瀏覽器滲透測試套件》助你打造鋒利神器一把，助力你的滲透測試工做。固然，這裏僅僅是一些你能夠在web應用滲透測試中使用的插件。固然你不可能使用這些工具就能夠完成你的滲透測試工做，但這些工具是至關有用的，能夠減小你使用其它獨立的工具。