Плагіни firefox для аудиту безпеки сайтів, Firefox
Все про браузер Mozilla Firefox
У цій статті йтиметься про найкорисніші плагіни, які допоможуть виявити проломи у захисті сайтів. Я рекомендую ознайомитися з нею не лише фахівцям з інформаційної безпеки, але й усім веб-розробникам, яким слід періодично проводити аудит власних сайтів. Хочеться відзначити, що більшість плагінів не завжди зможуть дати повну картину, оскільки це просто невеликі плагіни. Вони ніколи не дадуть ясності, яку можуть дати спеціалізовані програми. Тим не менш, перетворити свій браузер на такий собі комбайн для аудиту зможе навіть новачок, так що цей метод заслуговує на свою увагу.
Збір інформації
Будь-який пентест завжди починається зі збору інформації про ресурс, що перевіряється. Навіть якщо це ваш власний сайт - вам все ж таки краще скористатися цими плагінами, щоб представити себе на місці зломщика і його на власні очі побачити, яку корисну інформацію він може отримати про ваш сайт, а потім (по можливості) виправити це.
Host Spy — За допомогою цього плагіна ви легко і просто зможете з'ясувати, які ще сайти є на цьому ж сервері. Це дуже корисно знати, адже дуже часто якийсь вразливий сайт-сусід може надати зловмиснику доступ і до вашого сайту! Звичайно, грамотно налаштовані хостинги не дозволять це зробити, але на практиці таке трапляється досить часто.
Wappalyzer - цей корисний плагін дозволить отримати інформацію про технології,використовуються на сайті. Він спробує визначити CMS, використовувані фреймворки, панелі хостера, веб сервер і ОС.
Header Spy - Аддон, завдання якого виводити в стрімкий стан HTTP заголовки сервера. З його допомогою можна побачити, який HTTP запит ви надіслали і що вам відповів веб-сервер.
Resurrect Pages — Дозволить вам «оживити» віддалені сторінки, додавши віджет прямо на сторінку not found, в якій будуть посилання на пошук цієї сторінки в кеші пошукових систем та веб-архівів. Іноді може стати в нагоді і для пентестера.
Підробка та аналіз запитів
Дуже часто, малодосвідчені веб-розробники припускаються грубої помилки - повністю довіряють HTTP запитам і cookie, надісланими від користувачів і навіть не проводять жодних перевірок для цих параметрів. А даремно…
Modify Headers — Це вже набагато корисніший плагін, який дозволяє редагувати не тільки заголовок user-agent, але й інші, в тому числі, додавати власні. Тому я рекомендую все ж таки використовувати його, а не попередній.
Tamper Data — Дуже корисний плагін, який стане у нагоді, як розробникам, так і пентестерам. Він дозволяє вам аналізувати всі HTTP запити які протікають між вами та сервером. Але найголовніше, ви можете легко і просто редагувати будь-який надісланий заголовок. Відмінність від Modify Headers є величезною, адже Modify Headers встановлюється глобально для всіх сайтів, а Tamper Data ви можете нацькувати на будь-яку конкретну сторінку або скрипт. Цей плагін – найкращий спосіб отримати всю інформацію про те, як взаємодіє клієнт та сервер та провести аналіз на впровадження своїх запитів та виявити вразливості.
Add N Edit Cookies — Дозволяє переглядати, змінювати та додавати нові cookie. Тут також є місце, де можна розвернутисяін'єкцій. Варто відзначити, що цей плагін вже давно не розвивається і не працюватиме в сучасних Firefox. Але це не біда, тому що все одно є засіб набагато краще (Про нього розповім трохи нижче)
Live HTTP Headers — Дозволяє оперувати з HTTP заголовками: видаляти, додавати та змінювати. Можна встановити будь-який метод запиту, окрім GET та POST
Groundspeed - Дозволить вам змінювати форми на сайті - видаляти обмеження на довжину символом, редагувати JS події, змінювати приховані поля.
Ін'єкція коду
Різні ін'єкції - це найуразливіші вразливості на сайтах. Звичайно ж firefox ніяк не міг обійтися без плагінів, для автоматизації їх пошуку та виконання.
SQL Inject Me - як легко здогадатися за назвою, цей плагін допоможе вам перевірити сайт на наявність ін'єкцій SQL. Ви можете змусити його проаналізувати всі get параметри та форми на поточній сторінці. Цей плагін створює величезний трафік і іноді сайти навіть падають з його роботи :). Тому не варто включати одразу всі перевірки одночасно.
XSS Me - повністю аналогічний попередньому, але шукає вже не sql, а xss ін'єкції.
Пошукові системи
Offensive Security Exploit Database - Додасть як варіант пошукової системи один з кращих каталогів експлойтів - exploite-db.com. Ви зможете перевірити наявність експлойту до вашої програми просто ввівши його назву в рядку пошуку.
XSSed Search — Додасть пошук по сайту xssed.com, який збирає інформацію про вразливі до xss атаки додатків.
OSVDB — Пошук по величезній базі вразливостей osvdb.org
SecurityFocus Vulnerabilities search plugin — Ще один пошук по базі вразливостей securitufocus.com
Анонімність
Коли ми перевіряємо свої власні сайти або робимоце з дозволу замовника нам не потрібно переживати за свою анонімність. Тим не менш, випадки бувають різні і іноді все ж таки доведеться подбати про приховування свого реального розташування.
FoxyProxy — Дозволяє легко та швидко перемикатися між різними серверами проксі.
Інше та узагальнене
Firebug - Цей плагін напевно знайомий всім веб-розробникам. Це цілий комбайн, який допоможе вам вивчати та змінювати html код сторінки в реальному часі. Налагоджувати і вивчати роботу js, стежити за запитами і відповідями, що посилаються HTTP, аналізувати DOM і багато іншого. Він цілком може замінити деякі плагіни, що я навів вище, але він їсть досить багато ресурсів, тому вибір за вами.
Web Developer Toolbar — Ще один комбайн для веб-розробників, який буде вкрай корисним для пентестерів. Я не писатиму про величезну кількість інструментів, потрібних розробнику, а опишу його лише з погляду пентестера. Ми можемо відключати js, dns кеш та передачу реферера. Переглядати, змінювати та додавати cookie, що є чудовою заміною застарілому Add N Edit Cookies. Аналізувати форми - видаляти обмеження на довжину символів, змінювати методи запиту, замінювати select на текстові поля, зробити disabled поля редагованими, відкривати паролі під зірочками, показувати приховані поля та всю докладну інформацію за формою. Робота з формами — це дуже корисний інструмент у руках пентестера, адже дуже часто програмісти ставлячи заборони на редагування або додавши свої параметри в select поле, вважають, що зловмисник ніяк не зможе їх змінити, за що й розплачуються. Як я вже казав, це лише мала частка того, що вміє ця панель, але нам цього достатньо.
JS Deobfuscator - Зараз дуже часто зустрічаються сайти, дляроботи яких використовується тонна JS коду. Недосвідчені розробники навіть пишуть на js логіку роботи сайту, яку слід описати на стороні сервера, через доступність js коду будь-якому відвідувачу. Але іноді, хитрий розробник застосовує так звані обфускатор, який заплутує js код і вам буде дуже важко зрозуміти, що він робить. Цей плагін спробує провести деобфускацію та приведе скрипт до більш читального вигляду.
OWASP Mantra
Ну і насамкінець, хто зацікавився спробувати ці плагіни у справі, але не хоче ставити їх на свій улюблений firefox, представляю вам готову збірку від знаменитого проекту OWASP - Mantra. Це той же firefox, тільки з вже встановленими плагінами! Дуже зручно, якщо ви не хочете завантажувати свою, і без того ненажерливу лисицю зайвим вантажем.