• Web Security 08.10.2014

    網站資訊安全測試基本工具 HackerFox

    ID-100181332

    對於網站的資訊安全測試可以有哪些基本工具做測試呢?

    其實一般的 Browser 就可以透過安裝 addon 的方式,將 Brwoser 變成資訊安全測試工具

    只要基本的觀念弄熟了,接著就是工具好用不好用

    特別是資訊安全領域,基本觀念很重要,

    才不會受制於工具,有特定工具才會測試,工具一更新改版就不會測試

     

    Web Hacker’s Favorites [HackerFox]

    這邊介紹的是 FireFox Addon ,一來 FireFox 是 opensource的緣故,

    所以相關的免費 addon 都有一定的品質,跟資訊安全測試的 addon 也相對比較完整

    https://addons.mozilla.org/zh-TW/firefox/collections/yehgdotnet/webhacker/

    這是一個 FireFox 資訊安全相關 addon 的一個集合

    共有 130+多個 addon 可以安裝,這邊介紹幾個筆者比較會用到的 addon

     

    Firebug

    Firebug 類似每個瀏覽器都會提供的 F12 開發工具,在資訊安全測試上,主要用來執行一些簡單的 JavaScript 或是驗證 client 端的一些檢查的邏輯,例如輸入字元長度限制等。

     

     

    User Agent Switcher

    UserAgent 主要用在告訴網站目前的 Browser 為何,

    例如 IE 10 or FireFox 22 or Android 、 iPad 等,網站會進一步依據該 Browser 的類型,

    顯示對應的網頁或是行動版的網頁。

    或是錯誤訊息,例如 IE 8以下不支援等

    透過 User Agent 的切換,就可以在一台電腦上,

    模擬測試網站對於這些不同裝置瀏覽器的畫面顯示邏輯行為,

    而不用準備各式各樣真實的裝置。

     

    附加元件畫面擷圖 #1

     

    Tamper Data

    每次網頁按 submit 或是 ok 時, Temper Data 就會及時攔截,

    並且出現式窗讓測試人員知道該即將送出的 http request 參數的內容為何,

    並且也可以透過這樣的方式及時修改參數的內容或是新增

    對於網頁原本輸入的欄位長度有所限制的情況下,

    也可以用這樣的方式輸入任意長度字元,測試後端網站是否有進一步再次檢查

     

    Cookies Manager+

    用來修改、新增 cookie 與相關屬性

    因為 cookie 通常存放與 Session or Authentication 或是使用者資訊相關

    透過一些 cookie 的編輯,測試是否可以有 session 設計上的弱點

     

    Wappalyzer

    這個工具主要用來得知該網站所使用的技術為何,例如 IIS or apache

    駭客通常根據這樣的資訊進一步查詢已知的弱點並進行攻擊

    我們也可以透過這個工具測試是否網站回傳過多的資訊,

    導致該後台相關的技術被得知

     

     

     

    HttpRequester

    有些情況下我們會自己手動建立 http request 測試後台網站的處理狀況

    特別是 http post 的request 其中的參數需要微調或是新增時

    就可以利用這樣的工具 http request maker

    以上介紹資訊安全測試的必備工具,當然這樣的工具一刀兩刃

    在學會這樣的工具與技能的同時,

    期許大家一起將這樣的工具技術應用在對社會有益處的貢獻上。

     

     

     

    Posted by Tony @ 10:43 pm

    Tags: , ,

  • Leave a Reply

    Your email address will not be published.