对安全研究人员和渗透测试人员有用的Firefox 插件

时间 2019-12-04

原文原文链接

1.FoxyProxy Standardjavascript

FoxyProxy 是一个高级的代理管理插件。它可以提升firefox的内置代理的兼容性。这儿也有一些其它的类似类型的代理管理插件。可是它能够提供更多的功能。基于URL的参数，它能够从一个或多个代理之间转换。当代理在使用时，它还能够显示一个动画的图标。假如你要想看这个工具使用过的代理，你就能够查看它的日志。连接地址：https://addons.mozilla.org/en...java

2.Firebugweb

Firebug是一个好的插件，它集成了web开发工具。使用这个工具，你能够编辑和调试页面上的HTML,CSS和javascript，而后查看任何的更改所带来的影响。它可以帮助咱们分析JS文件来发现XSS缺陷。用来发现基于DOM的XSS缺陷，Firebug是至关有用的。连接地址：https://addons.mozilla.org/en...算法

3.Web Developersql

Web Developer是另一个好的插件，能为浏览器添加不少web开发工具。固然在渗透渗透测试中也能帮上忙。连接地址：https://addons.mozilla.org/de...数据库

4.User Agent Switcher浏览器

该插件是在浏览器上增长一个菜单和一个工具条按钮。若是你想改变user
agent, 使用这个工具条和按钮就能够了。该插件能够帮助咱们在执行一些攻击时作到欺骗的目的。连接地址：https://addons.mozilla.org/en...安全

5.Live HTTP Headers服务器

该插件是至关有用的渗透测试插件。它实时的现实每个http请求和http响应的headers.固然你也能够经过点击位于左侧角落的按钮来保存header信息。多余的话就很少说了。重要性你们都知道。连接地址：https://addons.mozilla.org/en...cookie

6.Tamper Data

Tamper Data和上面的Live
HTTP Header相似。但Temper Data有header编辑的功能。使用该插件，你能够查看，编辑HTTP/HTTPS
Header和post 参数。它还能够经过更改header
data被用于执行XSS和SQL注入攻击。连接地址：https://addons.mozilla.org/en...

7.Hackbar

Hackbar是一个简单的渗透测试工具。它能帮助咱们测试简单的SQL注入和XSS漏洞。你不能使用它来执行标准的exploits，可是你可使用它来测试缺陷存在与否。你能够手动的提交带有GET和POST的表单数据。它还有加密和编码的功能。大部分状况下，这个工具能够帮助咱们使用编码的payload测试XSS缺陷。它还支持键盘快捷键方式来执行多种任务。我很肯定，大多数安全领域的伙计们都知道这个工具。这个工具能用来发现POST
XSS缺陷。由于它能够手动发送POST
Data到任何你喜欢的页面。这样的话，你就能够绕过客户端页面的验证。若是你的payload将在客户端编码，你可使用编码工具来编码你的payload,而后执行攻击。若是应用易受到XSS攻击，我很是确信你将在Hackbar的帮助下找到这个缺陷点。连接地址：https://addons.mozilla.org/en...

8.WebSecurity

WebSecurity是一个不错的渗透测试工具。咱们已经在前面的文章中介绍过这个工具栏。WebSecurity能够检测大多数常见的web应用缺陷。这个工具能够容易的检测XSS，SQL注入和其它web应用缺陷。不像其它所列举的工具，websecurity完彻底全是一个渗透测试工具。连接地址：https://addons.mozilla.org/en...

9.Add N Edit Cookies

Add N Edit Cookies是一个cookie编辑插件，它容许你在浏览器中添加和编辑cookie数据。使用这个插件，你能够轻松的手动添加session 数据。这个工具能够在当你拥有活动的用户的session数据时执行session 劫持攻击。编辑你的cookie添加数据并劫持该账户。连接地址：https://addons.mozilla.org/en...

10.XSS Me

跨站点脚本攻击是最多见的web应用缺陷。在一个web应用中检测XSS缺陷，这个插件应该是一个有用的工具。XSS
Me经常用于发现反射型的XSS缺陷。它扫描页面中全部的表单，而后在所选择的页面上使用预约义的XSS
Payloads执行攻击。在扫描完成之后，它会列出全部的页面，这些页面会显示payload.这些页面可能易受到XSS攻击。如今你能够手动测试web页面去发现XSS缺陷存在与否。连接地址：https://addons.mozilla.org/en...

11.SQL Inject Me

SQL Inject Me 也是一个不错的Firefox插件，经常被用于查找Web应用的SQL注入缺陷。这个工具不能利用缺陷，可是可以显示它是存在的。SQL注入是最具伤害的web应用缺陷之一，它孕育攻击者查看，更改，编辑，添加或删除数据库中的记录。这个工具向表单中发送一些未被过滤的字符串，而后尝试搜索数据库的错误信息。若是它发现数据库的错误信息，它就会标记该页面是易受攻击的页面。QA测试人员可使用这个工具做为SQL注入的测试。连接地址：https://addons.mozilla.org/en...

12.FlagFox

FlagFox 是另一个有趣的插件。一旦安装到浏览器，它就会显示一个国旗用来告知web服务器的位置。它同时也包含其它功能，如：whois,WOT
scorecard 和 ping. 连接地址：https://addons.mozilla.org/en...

13.CrytoFox

CrytoFox是一个加密和解密的工具。它支持绝大多数的加密算法。所以你能够轻易的使用支持的加密算法加密和解密数据。这个插件有字典攻击的支持，能够破解MD5的密码。虽然对它的评论不太好，但它的做用仍是使人满意的。连接地址：https://addons.mozilla.org/en...

14.Access Me

Access Me是另一个专业的安全测试插件。这个插件是由XSS Me 和SQL
Inject Me同一家公司开发的。该插件是用来测试web应用的访问缺陷的。这个工具是经过发送一些不一样版本的页面请求来工做的。带有HTTP
HEAD的请求和由SECCOM组成的请求将会被发送。一个有session和HEAD/SECCOM的集合一样也会被发送。连接地址：https://addons.mozilla.org/en...

15.SecurityFocus Vulnerabilities search plugin

该插件不是一个安全工具，而是一个搜索插件，让用户从Security
Focus的数据库来搜索相关的缺陷点。连接地址：https://addons.mozilla.org/en...

16.Packet Storm search plugin

这是另一个搜索插件，让用户从packetstormsecurity.org站点搜索工具和相关利用。这个站点提供最新的免费的安全工具，利用和公告。连接地址：https://addons.mozilla.org/en...

17.Offset Exploit-db Search

这个插件和上面两个相似。它也是让用户从exploit-db.com站点搜索缺陷和列举的利用。固然这个站点提供的东东也是最新。连接地址：https://addons.mozilla.org/en...

18.Snort IDS Rule Search

这个插件也是一个搜索插件。用户能够利用这个插件从snort.org站点搜索Snort
IDS rules. Snort是世界范围内部署最普遍的IDS/IPS技术。它是开源的网络入侵预防和检测系统，超过400000用户在使用该技术。连接地址：https://addons.mozilla.org/en...firefox下相关神器介绍：《firefox十大安全插件》《PenQ – 浏览器渗透测试套件》助你打造锋利神器一把，助力你的渗透测试工做。固然，这里仅仅是一些你能够在web应用渗透测试中使用的插件。固然你不可能使用这些工具就能够完成你的渗透测试工做，但这些工具是至关有用的，能够减小你使用其它独立的工具。