10+ Addon將FireFox 變成資訊安全測試(駭客攻擊)工具

10+ Addon將FireFox 變成資訊安全測試(駭客攻擊)工具

firefox-150x150

這篇文章主要說明如何將FireFox變成資訊安全測試工具,

FireFox因為是免費 Open Source 因此相關的免費 Addon 也比較豐富,

在不花大錢的情況下,如何可以將瀏覽器 FireFox快速的變成網站安全測試工具呢?

筆者介紹幾個 FireFox Addon常用的安全測試工具。

提醒:未經允許任意攻擊系統是違法的行為。

建議可以參考這篇建立一個測試環境。如何準備一個資訊安全測試環境

All in One 懶人包

https://addons.mozilla.org/en-us/firefox/collections/adammuntner/webappsec/

“Web Application Security Penetration Testing”

這個懶人包只要安裝完之後,68個與資訊安全測試相關的add-on都會起安裝。

筆者介紹幾個筆者常用的Addon如下。

Cookie

可以把 cookie Expoert 成文字檔。為什麼要特別處理 Cookie 呢?

因為網站通常會透過 Cookie 來儲存Session,Session 是登入成功後一種認證的Token。

另外一個常用的工具是 Cookie Editor

https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/

 

Web Developer Tools

fireBug 就像是 Web Developer tool,用來觀察 JavaScript 與 HTML的網頁原始碼

 

User Agent

為什麼要用User Agent呢? 主要是因為網頁顯示的內容 (桌機版或是手機版)主要取決於用戶端所送出的 User Agent

因此,只要將瀏覽器切換 User Agent,就可以模擬成手機上網。

實際新聞案例 – 踢爆PChome手機版免密碼私密照全洩–蘋果日報20140210

 

Tamper Data

https://addons.mozilla.org/en-US/firefox/addon/tamper-data/

這是一個駭客必備工具。這個工具可以在任何 Http Request送出之前,立刻出現一個視窗讓你修改所有要送出的參數。

舉例來說,購物金額、使用者帳號資訊等。甚至是新增無法在網頁畫面輸入額外的值。

這也就是說為什麼資料驗證的檢查不可以只有Client端檢查。在網頁伺服器收到資料時,必須要再次檢查。

 

Injection

這兩個工具主要是用在 JavaScript or SQL injection。雖然我們知道攻擊原理,但是手動一個一個輸入測試資料還是有些花時間,

這兩個工具有內建的XSS與SQL Injection測試資料可以自動的根據網頁輸入進行測試。

資訊收集

https://addons.mozilla.org/en-us/firefox/addon/wappalyzer/

這個工具的主要目的在於探索目的網頁相關使用的技術。

知道這些資訊之後,駭客進一步的透過已知的資訊安全風險與攻擊方式進行攻擊。

所以為什麼要不斷更新 Patch的原因就在這。

 

 

 

Leave a Reply

Your email address will not be published.