Šiandien aptarsime naršyklės plėtinius, kuriuos kiekvienas etiškas įsilaužėlis turėtų naudoti, kad jo gyvenimas ir įsilaužimai būtų daug lengvesni nei anksčiau, ir kalbėsime apie geriausius iš jų ir kiekvieno iš jų paskirtį. Kai kurie iš šių plėtinių bus skirti tik „Chrome“, kiti - tik „Firefox“ ir kai kurie iš jų bus prieinami abiem.
Dabar pradėkime nuo šių naršyklės plėtinių:
Tamperio duomenys
Tamperio duomenys leidžia jums stebėti ir modifikuoti http, https ir kitas žiniatinklio naršyklės užklausas bei atsakymus, kurie paprastai jums nerodomi. Jei kada nors naudojote burp suite, geriau suprasite, kad duomenys apie klastojimą yra tarsi mažesnė burp suite rinkinio versija naršyklėje. Didžioji dalis etinio įsilaužimo yra pagrįsta šurmuliu ir tam mums dažnai reikia pakeisti ar modifikuoti įvestis ir užklausas, todėl mes galime naudoti šį naršyklės plėtinį šiam tikslui. Tamperio duomenys skirti ir „Chrome“, ir „Firefox“. Panašūs plėtiniai yra „Užklausų kūrimo priemonė“, „EditThisCookie“ ir „Tiesioginės HTTP antraštės“.
Nuoroda („Firefox“): https: // priedai.mozilla.org / lt-US / firefox / addon / tamper-data-for-ff-quantum /
Nuoroda („Chrome“): https: // chromas.google.lt / webstore / detail / tamper-chrome-extension / hifhgpdkfodlpnlmlnmhchnkepplebkb?hl = lt
Wappalyzer
Tikrindami žiniatinklio programų skvarbą turime rinkti informaciją apie jos domeną, techninę ir programinę įrangą, pvz., Kokia OS veikia serveryje ir kokios versijos? Šis procesas yra žinomas kaip informacijos rinkimas arba reklaminių antraščių paėmimas. Šis procesas yra naudingas norint pasinaudoti įprastais pažeidžiamumais ir poveikiais (CVE). „Wappalyzer“ yra šiam tikslui skirtas naršyklės plėtinys, t.e., ji išskiria svarbią informaciją apie žiniatinklio programą, kuri gali būti naudinga ją pentestuojant. „Wappalyzer“ plėtinį galima naudoti tiek „Chrome“, tiek „Firefox“. Panašūs šio tipo informacijos rinkimo plėtiniai yra „Firebug“ ir „IP Address and Domain Info“.
Nuoroda („Firefox“): https: // priedai.mozilla.org / lt-US / firefox / addon / wappalyzer /
Nuoroda („Chrome“): https: // chromas.google.lt / webstore / detail / wappalyzer / gppongmhjkpfnbhagpmjfkannfbllamg?hl = lt
„Proxy SwitchySharp“
Niekas geresnis už etinius įsilaužėlius negali įvertinti patikimo tarpinio serverio svarbos, o „Proxy SwitchySharp“ plėtinys ne tik suteikia tą tarpinį serverį, bet ir suteikia papildomų funkcijų, kurios labai padeda etiškai įsilaužti, taip pat kitiems techniniams vartotojams. „Proxy SwitchySharp“ turi skirtukų perjungimo tarpinių serverių funkciją, kuri keičia savo tarpinio serverio konfigūracijas, atsižvelgdama į prašomą URL, o tai reiškia, kad vienu metu galite naudoti kelis skirtingus tarpinius serverius kelioms skirtingoms svetainėms, be vargo tvarkant rankiniu būdu. „Proxy SwitchySharp“ skirta tik „Chrome“. Tarp proxy plėtinių 'FoxyProxy' taip pat pelnė savo pavadinimą kaip tarpinio serverio valdytojas.
Nuoroda („Chrome“): https: // chromas.google.lt / webstore / detail / proxy-switchysharp / dpplabbmogkhghncfbfdeeokoefdjegm?hl = lt
„HackBar“
„HackBar“ suteikia paprastą prieigą prie interneto ir sąsają su pentestavimu internete. Jį galima lengvai naudoti SQL injekcijose, XSS ir kitose atakose, nes tai suteikia patogią erdvę įvestims ir URL susilieti. Kartu su sąsaja, jis taip pat padeda SQL funkcijoms, XSS užklausoms, kodavimui, dekodavimui, maišos generavimui ir kt. Be to, tai padeda lengvai skaityti, kopijuoti ir pateikti URL užklausas, kad galėtumėte lengvai perkelti ar išbandyti bet kurią žiniatinklio programą. Šis plėtinys skirtas tiek „Chrome“, tiek „Firefox“.
Nuoroda („Firefox“): https: // priedai.mozilla.org / lt-US / firefox / addon / hackbartool /
Nuoroda („Chrome“): https: // chromas.google.lt / webstore / detail / hackbar / ejljggkpbkchhfcplgpaegmbfhenekdc?hl = lt
Atidarykite prievado tikrinimo įrankį
Kaip rodo jo pavadinimas, „Open Port Check Tool“ aptinka visus atidarytus dabartinio kompiuterio prievadus, kad įspėtų vartotoją išjungti nenaudojamą prievadą ir sumažinti bet kokią atakos galimybę. Tai yra labai naudinga pentestuojant, nes nenaudojami atviri prievadai nerekomenduojami ir yra laikomi kvietimu užpuolikui pasinaudoti bet kokiu šio uosto pažeidžiamumu. Tai tik „Chrome“ naudotojų plėtinys.
Nuoroda („Chrome“):
https: // chromas.google.lt / webstore / detail / open-port-check-tool / lefghalnfhaklfbndadklndcndabkadb
Vyskupo pažeidžiamumo nuskaitymas
Šis plėtinys yra svetainių pažeidžiamumo skaitytuvas. Jis ieško įvairių paplitusių pažeidžiamumų, tokių kaip netinkamai sukonfigūruoti failai, eksponuojamos versijų valdymo sistemos, tėvų ir vaikų katalogai, esantys skersai jūsų taikomose svetainėse. Šis įrankis automatiškai patikrina, ar nėra šių pagrindinių pažeidžiamumų svetainėse, veikiančių fone. Jis sukurtas bandymų tikslais jūsų svetainėje arba jei turite leidimą nuskaityti tam tikrą svetainę. „HPP Finder“ yra dar vienas žiniatinklio pažeidžiamumo naršyklės plėtinys, kuris specialiai tikrina, ar nėra apsinuodijimo HTTP parametrais (HPP). „Bishop Vulnerability Scan“ yra chromo pagrindu sukurtas plėtinys.
Nuoroda („Chrome“):
https: // chromas.google.„com / webstore / detail / bishop-hawrit-scan / cbkdeoaaclnbidadjimofnhpbfhjakoe
„OffSec Exploit-db Search“
Šis plėtinys nėra išnaudotojas, tačiau jis ieško eksploatacijų iš palaikomos eksploatacijų duomenų bazės įžeidžiančio saugumo, pavadinto „eksploatuoti db“. Galite ieškoti visų rūšių išnaudojimų įvairioms platformoms. Ši duomenų bazė teikia ne tik informaciją apie išnaudojimus, bet ir teikia naudingąsias apkrovas tam tikriems išnaudojimams ir kitoms medžiagoms, susijusioms su kai kuriais išnaudojimais, todėl šis naršyklės plėtinys ieško per šią išnaudojimų duomenų bazę. Šis plėtinys yra tik „Firefox“ naršyklėje.
Nuoroda („Firefox“): https: // priedai.mozilla.org / lt-JAV / firefox / addon / offsec-exploit-db-search /
Svetainės voras II
Jis ištraukia visas viešai prieinamas nuorodas, naudojamas svetainėje, ir naudojamas ieškoti ir rasti sugadintų nuorodų svetainėje. „Site Spider Mark II“ taip pat rodo visą nuorodų, į kurias ji randa, sąrašą. „Site Spider“ plėtinys skirtas chromo vartotojams. Šį plėtinį galite rasti:
Nuoroda („Chrome“):
https: // chromas.google.lt / webstore / detail / site-spider-mark-ii / gedjofgioahckekhpgknhchelbpdogok?hl = lt
Pastaba bet kur:
Etinis įsilaužimas į žiniatinklio programas prasideda nuo pagrindinės informacijos apie tikslines svetaines rinkimo, o etiniai įsilaužėliai paprastai naudoja įvairius teksto redaktorius, kad išsaugotų tą informaciją ir prireikus greitai įkeltų. Pastaba bet kur leidžia daug lengviau greitai išsaugoti ir įkelti šią informaciją, nes tai leidžia vartotojams realiuoju laiku rašyti bet kurioje svetainės vietoje ir prireikus grąžinti išsaugotas pastabas arba vartotojui dar kartą apsilankius toje svetainėje. Tai taip pat rodo tame konkrečiame puslapyje sukurtų užrašų skaičių, be to, galite lengviau importuoti, eksportuoti ir bendrinti šias pastabas. Šis plėtinys skirtas „Chrome“ vartotojams.
Nuoroda („Chrome“):
https: // chromas.google.lt / webstore / detail / note-where / bohahkiiknkelflnjjlipnaeapefmjbh
D3koderis:
D3coder yra chromo naršyklės plėtinys, kuris iškart šifruoja ir iššifruoja tekstą bei maišos naudodamas skirtingus šifravimo standartus. Jis taip pat naudoja žodyną, kad nulaužtų įprastas maišas. Be šifravimo ir iššifravimo, jis taip pat palaiko kodavimą ir dekodavimą, pavyzdžiui, „base64“ kodavimą. Tai dažnai yra naudinga, nes visada reikia koduoti ir iššifruoti etikos įsilaužėlių raktus ir maišas.
Nuoroda („Chrome“):
https: // chromas.google.lt / webstore / detail / d3coder / gncnbkghencmkfgeepfaonmegemakcol?hl = lt
[Bonus] Penetration Testing Kit
„Penetration Testing Kit“ yra pratęsimas, teikiamas kartu su daugeliu etinių įsilaužėlių įsiskverbimo bandymų metodų. Tai suteikia sąsają užklausų ir atsakymų informacijai siųsti ir peržiūrėti. Be to, galite sukurti savo užklausas ir naudoti jas SQL įpurškimui, XSS ir kitoms su forma susijusioms spragoms, naudodami ją kaip užklausų kūrimo priemonę ir peržiūrėdami jos atsakymą. Tai yra chromo pagrindu sukurtas plėtinys.
Nuoroda („Chrome“):
https: // chromas.google.lt / webstore / detail / penetration-testing-kit / ojkchikaholjmcnefhjlbohackpeeknd?hl = lt-GB
Išvada
Visa tai buvo skirta šiam straipsniui, tikiuosi, kad tai jums buvo naudinga, jis suteikė gerų įžvalgų ir žinių apie naudingus naršyklės plėtinius ir kad jūs naudosite šias žinias norėdami padaryti gerą.