频道栏目
读书频道 > web开发 > 其他综合 > 代码审计:企业级Web代码安全架构
2.3.2 浏览器扩展
2015-11-27 15:09:57     我来说两句
收藏   我要投稿
本书共分为三个部分。第一部分为代码审计前的准备,包括第1~2章,第1章详细介绍代码审计前需要了解的PHP核心配置文件以及PHP环境搭建的方法;第2章介绍学习PHP代码审计需要准备的工具,以及这些工具的详细使用方  立即去当当网订购

说到浏览器扩展,肯定要先说一下浏览器。通常优先选择的是Firefox,再就是Chrome浏览器,原因很简单,Firefox的扩展是目前浏览器里面最多的,也许是因为Firefox开源的原因,喜欢鼓捣它的人也就多了,自然而然各种插件和扩展也多了。另外不少扩展是专门做安全测试使用的,常用的像HackBar、FireBug、Live HTTP Headers、Modify以及Tamper Data,等等,稍后会详细介绍这几款扩展。同时,Chrome浏览器的扩展也非常多,不过方便用来做安全测试的比Firefox少,常用的有Http Headers、EditThisCookie、ModHeader等。其次就是一些扩展更少的浏览器,这里就不详细列举,不过建议常见内核的浏览器都应该安装一款,笔者电脑上就一直装着4款浏览器。

在下面的浏览器扩展介绍里,笔者会着重介绍Firefox的扩展。通常不涉及浏览器特性的漏洞测试,在Firefox下测试会比较方便;涉及浏览器特性的漏洞测试,则需要安装不同的浏览器。这里推荐一个浏览器测试软件IEtester,利用它可以切换IE浏览器内核版本,而不用安装所有版本的IE浏览器。接下来介绍常用的一些扩展的功能和使用方法。

1. HackBar

Hackbar是安全测试最常用的一款Firefox扩展,主要作用是非常方便安全人员对漏洞进行手工测试。它有三个输入框,分别是URL、Post数据以及Referer的参数设置,在输入框上部还提供了一个菜单栏,有各种各样编码、解码的小功能。Hackbar的整体界面如图2-24所示,箭头所指的标注框里面就是Hackbar了。

点击Load URL即可从Firefox地址栏获取当前URL,点击Execute之后即可发送我们设置好的请求数据。


 

2. Firebug

Firebug是一款开发者工具,功能与火狐自带的开发者工具差不多,支持直接对网页HTML、CSS等元素进行编辑,其中的“网络”功能可以直接嗅探Request和Response数据包。通常在利用一些支付漏洞或者SQL注入漏洞的时候,我们只需要把鼠标指针定位到要修改的网页区域,右键点击“使用Firebug查看元素”即可对网页进行修改测试漏洞,Firebug的界面图如图2-25所示。


 

3. Live HTTP Headers

Live HTTP Headers主要的功能是抓取浏览器Request和Response数据包,也支持对Request数据进行修改后再次请求。不好的一点在于它只能抓取到HTTP的数据,对HTTPS无效,不过用来分析简单页面数据它已经足够。Live HTTP Headers的界面如图2-26所示。


 

首先勾选Capture复选框,然后开始在浏览器中请求页面即可,选中抓到的数据包,点击Replay按钮可对数据进行编辑和重新发送。

4. Modify

Modify是一款火狐扩展工具,顾名思义,这是一款用来修改的扩展,Modify仅支持添加和修改Request中HTTP Header的字段,而且它是做全局修改,即开启Modify之后,它会把浏览器对任何网站的所有请求中对应字段进行修改。下面就介绍它的使用方法,图2-27就是Modify的主界面。


 

使用非常简单,在图中Modify的下拉框中选择要执行的模式,有Modify、Add以及Filter,然后在后面的两个输入框输入参数名以及参数值,点击Save再点击左上角的Start按钮即可启动Modify。

通过抓包可以看到以及将访问百度的请求中cookie的值修改成了“seay”,如图2-28所示。


 

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.3.1 Burp Suite
下一篇:2.3.3 编码转换及加解密工具
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站