Firefox是一個出自Mozilla組織的流行的web瀏覽器。Firefox的流行并不僅僅是因為它是一個好的瀏覽器，而是因為它能夠支持插件進而加強它自身的功能。Mozilla有一個插件站點，在那里面有成千上萬的，非常有用的，不同種類的插件。一些插件對于***測試人員和安全分析人員來說是相當有用的。這些***測試插件幫助我們執(zhí)行不同類型的***，并能直接從瀏覽器中更改請求頭部。對于***測試中涉及到的相關工作，使用插件方式可以減少我們對獨立工具的使用。

在這篇簡明的文章中，我們列舉了一些流行的和有趣的Firefox插件，這些插件對***測試人員來說是非常有用的。這些插件是多樣的，有信息收集工具，也有******。使用那些你認為有用的插件就可以了。這里面也有一些需要額外付費的插件，比如Dominator
pro,它就需要從官方購買。請看下面的列表。

對安全研究人員和***測試人員有用的Firefox 插件

1.FoxyProxy Standard

FoxyProxy 是一個高級的代理管理插件。它能夠提高firefox的內置代理的兼容性。這兒也有一些其它的相似類型的代理管理插件。但是它可以提供更多的功能。基于URL的參數(shù)，它可以從一個或多個代理之間轉換。當代理在使用時，它還可以顯示一個動畫的圖標。假如你要想看這個工具使用過的代理，你就可以查看它的日志。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/

2.Firebug

Firebug是一個好的插件，它集成了web開發(fā)工具。使用這個工具，你可以編輯和調試頁面上的HTML,CSS和javascript，然后查看任何的更改所帶來的影響。它能夠幫助我們分析JS文件來發(fā)現(xiàn)XSS缺陷。用來發(fā)現(xiàn)基于DOM的XSS缺陷，Firebug是相當有用的。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/firebug/

3.Web Developer

Web Developer是另外一個好的插件，能為瀏覽器添加很多web開發(fā)工具。當然在******測試中也能幫上忙。鏈接地址：https://addons.mozilla.org/de/firefox/addon/web-developer/

4.User Agent Switcher

該插件是在瀏覽器上增加一個菜單和一個工具條按鈕。如果你想改變user
agent, 使用這個工具條和按鈕就可以了。該插件可以幫助我們在執(zhí)行一些***時做到欺騙的目的。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/

5.Live HTTP Headers

該插件是相當有用的***測試插件。它實時的現(xiàn)實每一個http請求和http響應的headers.當然你也可以通過點擊位于左側角落的按鈕來保存header信息。多余的話就不多說了。重要性大家都知道。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/

6.Tamper Data

Tamper Data和上面的Live
HTTP Header類似。但Temper Data有header編輯的功能。使用該插件，你可以查看，編輯HTTP/HTTPS
Header和post 參數(shù)。它還可以通過更改header
data被用于執(zhí)行XSS和SQL注入***。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/tamper-data/

7.Hackbar

Hackbar是一個簡單的***測試工具。它能幫助我們測試簡單的SQL注入和XSS漏洞。你不能使用它來執(zhí)行標準的exploits，但是你可以使用它來測試缺陷存在與否。你可以手動的提交帶有GET和POST的表單數(shù)據(jù)。它還有加密和編碼的功能。大部分情況下，這個工具可以幫助我們使用編碼的payload測試XSS缺陷。它還支持鍵盤快捷鍵方式來執(zhí)行多種任務。我很確定，大多數(shù)安全領域的伙計們都知道這個工具。這個工具能用來發(fā)現(xiàn)POST
XSS缺陷。因為它可以手動發(fā)送POST
Data到任何你喜歡的頁面。這樣的話，你就可以繞過客戶端頁面的驗證。如果你的payload將在客戶端編碼，你可以使用編碼工具來編碼你的payload,然后執(zhí)行***。如果應用易受到XSS***，我非常確信你將在Hackbar的幫助下找到這個缺陷點。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/hackbar/

8.WebSecurity

WebSecurity是一個不錯的***測試工具。我們已經(jīng)在前面的文章中介紹過這個工具欄。WebSecurity可以檢測大多數(shù)常見的web應用缺陷。這個工具可以容易的檢測XSS，SQL注入和其它web應用缺陷。不像其它所列舉的工具，websecurity完完全全是一個***測試工具。鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/websecurify/

9.Add N Edit Cookies

Add N Edit Cookies是一個cookie編輯插件，它允許你在瀏覽器中添加和編輯cookie數(shù)據(jù)。使用這個插件，你可以輕松的手動添加session 數(shù)據(jù)。這個工具可以在當你擁有活動的用戶的session數(shù)據(jù)時執(zhí)行session 劫持***。編輯你的cookie添加數(shù)據(jù)并劫持該帳戶。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/

10.XSS Me

跨站點腳本***是最常見的web應用缺陷。在一個web應用中檢測XSS缺陷，這個插件應該是一個有用的工具。XSS
Me常常用于發(fā)現(xiàn)反射型的XSS缺陷。它掃描頁面中所有的表單，然后在所選擇的頁面上使用預定義的XSS
Payloads執(zhí)行***。在掃描完成以后，它會列出所有的頁面，這些頁面會顯示payload.這些頁面可能易受到XSS***。現(xiàn)在你可以手動測試web頁面去發(fā)現(xiàn)XSS缺陷存在與否。鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/xss-me/

11.SQL Inject Me

SQL Inject Me 也是一個不錯的Firefox插件，常常被用于查找Web應用的SQL注入缺陷。這個工具不能利用缺陷，但是能夠顯示它是存在的。SQL注入是最具傷害的web應用缺陷之一，它孕育***者查看，更改，編輯，添加或刪除數(shù)據(jù)庫中的記錄。這個工具向表單中發(fā)送一些未被過濾的字符串，然后嘗試搜索數(shù)據(jù)庫的錯誤信息。如果它發(fā)現(xiàn)數(shù)據(jù)庫的錯誤信息，它就會標記該頁面是易受***的頁面。QA測試人員可以使用這個工具作為SQL注入的測試。鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/

12.FlagFox

FlagFox 是另外一個有趣的插件。一旦安裝到瀏覽器，它就會顯示一個國旗用來告知web服務器的位置。它同時也包含其它功能，如：whois,WOT
scorecard 和 ping. 鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/flagfox/

13.CrytoFox

CrytoFox是一個加密和解密的工具。它支持絕大多數(shù)的加密算法。因此你可以輕易的使用支持的加密算法加密和解密數(shù)據(jù)。這個插件有字典***的支持，可以破解MD5的密碼。雖然對它的評論不太好，但它的作用還是令人滿意的。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/cryptofox/

14.Access Me

Access Me是另外一個專業(yè)的安全測試插件。這個插件是由XSS Me 和SQL
Inject Me同一家公司開發(fā)的。該插件是用來測試web應用的訪問缺陷的。這個工具是通過發(fā)送一些不同版本的頁面請求來工作的。帶有HTTP
HEAD的請求和由SECCOM組成的請求將會被發(fā)送。一個有session和HEAD/SECCOM的集合同樣也會被發(fā)送。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/access-me/

15.SecurityFocus Vulnerabilities search plugin

該插件不是一個安全工具，而是一個搜索插件，讓用戶從Security
Focus的數(shù)據(jù)庫來搜索相關的缺陷點。鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/securityfocus-vulnerabilities-/

16.Packet Storm search plugin

這是另外一個搜索插件，讓用戶從packetstormsecurity.org站點搜索工具和相關利用。這個站點提供最新的免費的安全工具，利用和公告。鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/packet-storm-search-plugin/

17.Offset Exploit-db Search

這個插件和上面兩個類似。它也是讓用戶從exploit-db.com站點搜索缺陷和列舉的利用。當然這個站點提供的東東也是最新。鏈接地址：https://addons.mozilla.org/en-us/firefox/addon/offsec-exploit-db-search/

18.Snort IDS Rule Search

這個插件也是一個搜索插件。用戶可以利用這個插件從snort.org站點搜索Snort
IDS rules. Snort是世界范圍內部署最廣泛的IDS/IPS技術。它是開源的網(wǎng)絡***預防和檢測系統(tǒng)，超過400000用戶在使用該技術。鏈接地址：https://addons.mozilla.org/en-US/firefox/addon/snort-ids-rule-search/

這里僅僅是一些你可以在web應用***測試中使用的插件。當然你不可能使用這些工具就可以完成你的***測試工作，但這些工具是相當有用的，可以減少你使用其它獨立的工具。

格言：我只做有技術的搬運工！

譯自：http://resources.infosecinstitute.com/use-firefox-browser-as-a-penetration-testing-tool-with-these-add-ons/

——————————————

工欲善必先利其器，firefox一直是各位***師必備的利器，小編這里推薦34款firefox***測試輔助插件，其中包含***測試、信息收集、代理、加密解密等功能。

1：Firebug

Firefox的 五星級強力推薦插件之一，不許要多解釋

2：User Agent Switcher
改變客戶端的User Agent的一款插件

3：Hackbar
攻城師必備工具，提供了SQL注入和XSS***，能夠快速對字符串進行各種編碼。

4：HttpFox
監(jiān)測和分析瀏覽器與web服務器之間的HTTP流量

5：Live HTTP Headers
即時查看一個網(wǎng)站的HTTP頭

6：Tamper Data
查看和修改HTTP/HTTPS頭和POST參數(shù)

7：ShowIP
在狀態(tài)欄顯示當前頁的IP地址、主機名、ISP、國家和城市等信息。

8：OSVDB
開放源碼的漏洞數(shù)據(jù)庫檢索

9:Packet Storm search plugin
Packet Storm提供的插件，可以搜索漏洞、工具和exploits等。

10：Offsec Exploit-db Search
搜索Exploit-db信息

11：Security Focus Vulnerabilities Search Plugin
在Security Focus上搜索漏洞

12：Cookie Watcher
在狀態(tài)欄顯示cookie

13:Header Spy
在狀態(tài)欄顯示HTTP頭

14：Groundspeed
Manipulate the application user interface.

15：CipherFox
在狀態(tài)欄顯示當前SSL/TLS的加密算法和證書

16：XSS Me
XSS測試擴展

17：SQL Inject Me
SQL注入測試擴展

18：Wappalyzer
查看網(wǎng)站使用的應用程序

19：Poster
發(fā)送與Web服務器交互的HTTP請求，并查看輸出結果

20：Javascript Deobfuscator
顯示網(wǎng)頁上運行的Javascript代碼

21：Modify Headers
修改HTTP請求頭

22：FoxyProxy
代理工具

23：FlagFox
可以在地址欄或狀態(tài)欄上顯示出當前網(wǎng)站所在國家的國旗，也有更多的其他功能，如：雙擊國旗可以實現(xiàn)WOT功能；鼠標中鍵點擊是whois功能。當然用戶可以在選項里設置快捷鍵實現(xiàn)諸如復制IP，維基百科查詢等功能。

24：Greasemonkey
greasemonkey 使你可以向任何網(wǎng)頁添加DHTML語句(用戶腳本)來改變它們的顯示方式。就像CSS可以讓你接管網(wǎng)頁的樣式，而用戶腳本(User Script)則可以讓你輕易地控制網(wǎng)頁設計與交互的任何方面。例如:

* 使頁面上顯示的 URL 都成為可以直接點擊進入的鏈接。 * 增強網(wǎng)頁實用性，使你經(jīng)常訪問的網(wǎng)站更符合你的習慣。 * 繞過網(wǎng)站上經(jīng)常出現(xiàn)的那些煩人的 Bug。

25：Domain Details
顯示服務器類型、IP地址、域名注冊信息等

26：Websecurify
Websecurify是WEB安全檢測軟件的Firefox的擴展，可以針對Web應用進行安全評估

27：XSSed Search
搜索XSSed.Com跨站腳本數(shù)據(jù)庫

28：ViewStatePeeker
查看asp.net的iewState

29：CryptoFox
破解MD5、加密/解密工具

30：WorldIP
顯示服務器的IP、地址、PING、Traceroute、RDNS等信息

31：Server Spy
識別訪問的web服務器類型，版本以及IP地址的插件

32：Default Passwords
搜索CIRT.net默認密碼數(shù)據(jù)庫。

33：Snort IDS Rule Search
搜索Snort的IDS規(guī)則，做簽名開發(fā)的應該很有用。

34：FireCAT
FireCAT (Firefox Catalog of Auditing exTensions)是一個收集最有效最有用的應用程序安全審計和風險評估工具的列表(這些工具以Firefox插件形式發(fā)布的),FireCAT中沒有收集的安全工具類型包括:fuzzer,代理和應用程序掃描器.

總結

以上是生活随笔為你收集整理的***测试工具的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。