2.3.2 浏览器扩展
说到浏览器扩展,肯定要先说一下浏览器。通常优先选择的是 Firefox,再就是 Chrome 浏览器,原因很简单,Firefox 的扩展是目前浏览器里面最多的,也许是因为 Firefox 开源的原因,喜欢鼓捣它的人也就多了,自然而然各种插件和扩展也多了。另外不少扩展是专门做安全测试使用的,常用的像 HackBar、FireBug、Live HTTP Headers、Modify 以及 Tamper Data,等等,稍后会详细介绍这几款扩展。同时,Chrome 浏览器的扩展也非常多,不过方便用来做安全测试的比 Firefox 少,常用的有 Http Headers、EditThisCookie、ModHeader 等。其次就是一些扩展更少的浏览器,这里就不详细列举,不过建议常见内核的浏览器都应该安装一款,笔者电脑上就一直装着 4 款浏览器。
图 2-23
在下面的浏览器扩展介绍里,笔者会着重介绍 Firefox 的扩展。通常不涉及浏览器特性的漏洞测试,在 Firefox 下测试会比较方便;涉及浏览器特性的漏洞测试,则需要安装不同的浏览器。这里推荐一个浏览器测试软件 IEtester,利用它可以切换 IE 浏览器内核版本,而不用安装所有版本的 IE 浏览器。接下来介绍常用的一些扩展的功能和使用方法。
1.HackBar
Hackbar 是安全测试最常用的一款 Firefox 扩展,主要作用是非常方便安全人员对漏洞进行手工测试。它有三个输入框,分别是 URL、Post 数据以及 Referer 的参数设置,在输入框上部还提供了一个菜单栏,有各种各样编码、解码的小功能。Hackbar 的整体界面如图 2-24 所示,箭头所指的标注框里面就是 Hackbar 了。
点击 Load URL 即可从 Firefox 地址栏获取当前 URL,点击 Execute 之后即可发送我们设置好的请求数据。
图 2-24
2.Firebug
Firebug 是一款开发者工具,功能与火狐自带的开发者工具差不多,支持直接对网页 HTML、CSS 等元素进行编辑,其中的“网络”功能可以直接嗅探 Request 和 Response 数据包。通常在利用一些支付漏洞或者 SQL 注入漏洞的时候,我们只需要把鼠标指针定位到要修改的网页区域,右键点击“使用 Firebug 查看元素”即可对网页进行修改测试漏洞,Firebug 的界面图如图 2-25 所示。
图 2-25
3.Live HTTP Headers
Live HTTP Headers 主要的功能是抓取浏览器 Request 和 Response 数据包,也支持对 Request 数据进行修改后再次请求。不好的一点在于它只能抓取到 HTTP 的数据,对 HTTPS 无效,不过用来分析简单页面数据它已经足够。Live HTTP Headers 的界面如图 2-26 所示。
图 2-26
首先勾选 Capture 复选框,然后开始在浏览器中请求页面即可,选中抓到的数据包,点击 Replay 按钮可对数据进行编辑和重新发送。
4.Modify
Modify 是一款火狐扩展工具,顾名思义,这是一款用来修改的扩展,Modify 仅支持添加和修改 Request 中 HTTP Header 的字段,而且它是做全局修改,即开启 Modify 之后,它会把浏览器对任何网站的所有请求中对应字段进行修改。下面就介绍它的使用方法,图 2-27 就是 Modify 的主界面。
图 2-27
使用非常简单,在图中 Modify 的下拉框中选择要执行的模式,有 Modify、Add 以及 Filter,然后在后面的两个输入框输入参数名以及参数值,点击 Save 再点击左上角的 Start 按钮即可启动 Modify。
通过抓包可以看到以及将访问百度的请求中 cookie 的值修改成了“seay”,如图 2-28 所示。
图 2-28
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论