10+ Addon將FireFox 變成資訊安全測試(駭客攻擊)工具
這篇文章主要說明如何將FireFox變成資訊安全測試工具,
FireFox因為是免費 Open Source 因此相關的免費 Addon 也比較豐富,
在不花大錢的情況下,如何可以將瀏覽器 FireFox快速的變成網站安全測試工具呢?
筆者介紹幾個 FireFox Addon常用的安全測試工具。
提醒:未經允許任意攻擊系統是違法的行為。
建議可以參考這篇建立一個測試環境。如何準備一個資訊安全測試環境
All in One 懶人包
https://addons.mozilla.org/en-us/firefox/collections/adammuntner/webappsec/
“Web Application Security Penetration Testing”
這個懶人包只要安裝完之後,68個與資訊安全測試相關的add-on都會起安裝。
筆者介紹幾個筆者常用的Addon如下。
Cookie
可以把 cookie Expoert 成文字檔。為什麼要特別處理 Cookie 呢?
因為網站通常會透過 Cookie 來儲存Session,Session 是登入成功後一種認證的Token。
另外一個常用的工具是 Cookie Editor
https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/
Web Developer Tools
fireBug 就像是 Web Developer tool,用來觀察 JavaScript 與 HTML的網頁原始碼
User Agent
為什麼要用User Agent呢? 主要是因為網頁顯示的內容 (桌機版或是手機版)主要取決於用戶端所送出的 User Agent
因此,只要將瀏覽器切換 User Agent,就可以模擬成手機上網。
實際新聞案例 – 踢爆PChome手機版免密碼私密照全洩–蘋果日報20140210
Tamper Data
https://addons.mozilla.org/en-US/firefox/addon/tamper-data/
這是一個駭客必備工具。這個工具可以在任何 Http Request送出之前,立刻出現一個視窗讓你修改所有要送出的參數。
舉例來說,購物金額、使用者帳號資訊等。甚至是新增無法在網頁畫面輸入額外的值。
這也就是說為什麼資料驗證的檢查不可以只有Client端檢查。在網頁伺服器收到資料時,必須要再次檢查。
Injection
- ttps://addons.mozilla.org/en-us/firefox/addon/xss-me/
- https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/
這兩個工具主要是用在 JavaScript or SQL injection。雖然我們知道攻擊原理,但是手動一個一個輸入測試資料還是有些花時間,
這兩個工具有內建的XSS與SQL Injection測試資料可以自動的根據網頁輸入進行測試。
資訊收集
https://addons.mozilla.org/en-us/firefox/addon/wappalyzer/
這個工具的主要目的在於探索目的網頁相關使用的技術。
知道這些資訊之後,駭客進一步的透過已知的資訊安全風險與攻擊方式進行攻擊。
所以為什麼要不斷更新 Patch的原因就在這。
- https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/
- https://addons.mozilla.org/en-US/firefox/addon/hackbar/
- https://addons.mozilla.org/en-us/firefox/addon/flagfox/
- https://addons.mozilla.org/en-US/firefox/addon/cryptofox/
- https://addons.mozilla.org/en-us/firefox/addon/offsec-exploit-db-search/