[轉]18個Firefox安全測試擴展

轉貼自:http://www.freebuf.com/tools/11544.html

Firefox是一個出自Mozilla組織的流行的web瀏覽器。 Firefox的流行並不僅僅是因為它是一個好的瀏覽器，而是因為它能夠支持插件進而加強它自身的功能。

Mozilla有一個插件站點，在那裡面有成千上萬的，非常有用的，不同種類的插件。一些插件對於滲透測試人員和安全分析人員來說是相當有用的。這些滲透測試插件幫助我們執行不同類型的攻擊，並能直接從瀏覽器中更改請求頭部。對於滲透測試中涉及到的相關工作，使用插件方式可以減少我們對獨立工具的使用。在這篇簡明的文章中，我們列舉了一些流行的和有趣的Firefox插件，這些插件對滲透測試人員來說是非常有用的。這些插件是多樣的，有信息收集工具，也有攻擊攻擊。使用那些你認為有用的插件就可以了。這裡面也有一些需要額外付費的插件，比如Dominator

pro,它就需要從官方購買。請看下面的列表。對安全研究人員和滲透測試人員有用的Firefox 插件

1.FoxyProxy Standard FoxyProxy

是一個高級的代理管理插件。它能夠提高firefox的內置代理的兼容性。這兒也有一些其它的相似類型的代理管理插件。但是它可以提供更多的功能。基於URL的參數，它可以從一個或多個代理之間轉換。當代理在使用時，它還可以顯示一個動畫的圖標。假如你要想看這個工具使用過的代理，你就可以查看它的日誌。

鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/

2.Firebug Firebug

是一個好的插件，它集成了web開發工具。使用這個工具，你可以編輯和調試頁面上的HTML,CSS和javascript，然後查看任何的更改所帶來的影響。它能夠幫助我們分析JS文件來發現XSS缺陷。用來發現基於DOM的XSS缺陷，Firebug是相當有用的。

鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/firebug/

3.Web Developer Web Developer

是另外一個好的插件，能為瀏覽器添加很多web開發工具。當然在滲透滲透測試中也能幫上忙。

鏈接地址：https://addons.mozilla.org/de/firefox/addon/web-developer/

4.User Agent Switcher

該插件是在瀏覽器上增加一個菜單和一個工具條按鈕。如果你想改變user

agent, 使用這個工具條和按鈕就可以了。該插件可以幫助我們在執行一些攻擊時做到欺騙的目的。

鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/

5.HTTP Headers

該插件是相當有用的滲透測試插件。它實時的現實每一個http請求和http響應的headers.當然你也可以通過點擊位於左側角落的按鈕來保存header信息。多餘的話就不多說了。重要性大家都知道。

鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/

6.Tamper DataTamper Data

和上面的LiveHTTP Header類似。但Temper Data有header編輯的功能。使用該插件，你可以查看，編輯HTTP/HTTPS

Header和post 參數。它還可以通過更改header

data被用於執行XSS和SQL注入攻擊。

鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/tamper-data/

7. HackbarHackba

r是一個簡單的滲透測試工具。它能幫助我們測試簡單的SQL注入和XSS漏洞。你不能使用它來執行標準的exploits，但是你可以使用它來測試缺陷存在與否。你可以手動的提交帶有GET和POST的表單數據。它還有加密和編碼的功能。大部分情況下，這個工具可以幫助我們使用編碼的payload測試XSS缺陷。它還支持鍵盤快捷鍵方式來執行多種任務。我很確定，大多數安全領域的伙計們都知道這個工具。這個工具能用來發現POST

XSS缺陷。因為它可以手動發送POST

Data到任何你喜歡的頁面。這樣的話，你就可以繞過客戶端頁面的驗證。如果你的payload將在客戶端編碼，你可以使用編碼工具來編碼你的payload,然後執行攻擊。如果應用易受到XSS攻擊，我非常確信你將在Hackbar的幫助下找到這個缺陷點。

鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/hackbar/

8. WebSecurityWebSecurity

是一個不錯的滲透測試工具。我們已經在前面的文章中介紹過這個工具欄。 WebSecurity可以檢測大多數常見的web應用缺陷。這個工具可以容易的檢測XSS，SQL注入和其它web應用缺陷。不像其它所列舉的工具，websecurity完完全全是一個滲透測試工具。

鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/websecurify/

9. Add N Edit CookiesAdd N Edit Cookies

是一個cookie編輯插件，它允許你在瀏覽器中添加和編輯cookie數據。使用這個插件，你可以輕鬆的手動添加session 數據。這個工具可以在當你擁有活動的用戶的session數據時執行session 劫持攻擊。編輯你的cookie添加數據並劫持該帳戶。

鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/

10. XSS Me

跨站點腳本攻擊是最常見的web應用缺陷。在一個web應用中檢測XSS缺陷，這個插件應該是一個有用的工具。 XSS

Me常常用於發現反射型的XSS缺陷。它掃描頁面中所有的表單，然後在所選擇的頁面上使用預定義的XSS

Payloads執行攻擊。在掃描完成以後，它會列出所有的頁面，這些頁面會顯示payload.這些頁面可能易受到XSS攻擊。現在你可以手動測試web頁面去發現XSS缺陷存在與否。

鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/xss-me/

11. SQL Inject MeSQL Inject Me

也是一個不錯的Firefox插件，常常被用於查找Web應用的SQL注入缺陷。這個工具不能利用缺陷，但是能夠顯示它是存在的。 SQL注入是最具傷害的web應用缺陷之一，它孕育攻擊者查看，更改，編輯，添加或刪除數據庫中的記錄。這個工具向表單中發送一些未被過濾的字符串，然後嘗試搜索數據庫的錯誤信息。如果它發現數據庫的錯誤信息，它就會標記該頁面是易受攻擊的頁面。 QA測試人員可以使用這個工具作為SQL注入的測試。

鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/