您所在的位置： &
18个扩展使Firefox成为渗透测试工具
18个扩展使Firefox成为渗透测试工具
对于渗透测试中涉及到的相关工作，使用插件方式可以减少我们对独立工具的使用。在这篇简明的文章中，我们列举了一些流行的和有趣的Firefox插件，这些插件对渗透测试人员来说是非常有用的。这些插件是多样的，有信息收集工具，也有攻击。
Firefox是一个出自Mozilla组织的流行的web浏览器。Firefox的流行并不仅仅是因为它是一个好的浏览器，而是因为它能够支持插件进而加强它自身的功能。Mozilla有一个插件站点，在那里面有成千上万的，非常有用的，不同种类的插件。一些插件对于渗透测试人员和安全分析人员来说是相当有用的。这些渗透测试插件帮助我们执行不同类型的攻击，并能直接从浏览器中更改请求头部。对于渗透测试中涉及到的相关工作，使用插件方式可以减少我们对独立工具的使用。在这篇简明的文章中，我们列举了一些流行的和有趣的Firefox插件，这些插件对渗透测试人员来说是非常有用的。这些插件是多样的，有信息收集工具，也有攻击。使用那些你认为有用的插件就可以了。这里面也有一些需要额外付费的插件，比如Dominator&pro,它就需要从官方购买。请看下面的列表。对安全研究人员和渗透测试人员有用的Firefox 插件：
1. FoxyProxy
是一个高级的代理管理插件。它能够提高firefox的内置代理的兼容性。这儿也有一些其它的相似类型的代理管理插件。但是它可以提供更多的功能。基于URL的参数，它可以从一个或多个代理之间转换。当代理在使用时，它还可以显示一个动画的图标。假如你要想看这个工具使用过的代理，你就可以查看它的日志。
链接地址：https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/
Firebug是一个好的插件，它集成了web开发工具。使用这个工具，你可以编辑和调试页面上的HTML,CSS和javascript，然后查看任何的更改所带来的影响。它能够帮助我们分析JS文件来发现XSS缺陷。用来发现基于DOM的XSS缺陷，Firebug是相当有用的。链接地址：https://addons.mozilla.org/en-US/firefox/addon/firebug/
Web Developer
Developer是另外一个好的插件，能为浏览器添加很多web开发工具。当然在渗透渗透测试中也能帮上忙。链接地址：https://addons.mozilla.org/de/firefox/addon/web-developer/
User Agent Switcher
该插件是在浏览器上增加一个菜单和一个工具条按钮。如果你想改变user&agent,
使用这个工具条和按钮就可以了。该插件可以帮助我们在执行一些攻击时做到欺骗的目的。链接地址：https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/
该插件是相当有用的渗透测试插件。它实时的现实每一个http请求和http响应的headers.当然你也可以通过点击位于左侧角落的按钮来保存header信息。多余的话就不多说了。重要性大家都知道。链接地址：https://addons.mozilla.org/en-US/firefox/addon/live-http-headers/
Tamper Data
Tamper Data和上面的Live&HTTP Header类似。但Temper Data有header编辑的功能。使用该插件，你可以查看，编辑HTTP/HTTPS&Header和post 参数。它还可以通过更改header&data被用于执行XSS和SQL注入攻击。链接地址：https://addons.mozilla.org/en-US/firefox/addon/tamper-data/
Hackbar是一个简单的渗透测试工具。它能帮助我们测试简单的SQL注入和XSS漏洞。你不能使用它来执行标准的exploits，但是你可以使用它来测试缺陷存在与否。你可以手动的提交带有GET和POST的表单数据。它还有加密和编码的功能。大部分情况下，这个工具可以帮助我们使用编码的payload测试XSS缺陷。它还支持键盘快捷键方式来执行多种任务。我很确定，大多数安全领域的伙计们都知道这个工具。这个工具能用来发现POST&XSS缺陷。因为它可以手动发送POST&Data到任何你喜欢的页面。这样的话，你就可以绕过客户端页面的验证。如果你的payload将在客户端编码，你可以使用编码工具来编码你的payload,然后执行攻击。如果应用易受到XSS攻击，我非常确信你将在Hackbar的帮助下找到这个缺陷点。链接地址：https://addons.mozilla.org/en-US/firefox/addon/hackbar/
WebSecurity
WebSecurity是一个不错的渗透测试工具。我们已经在前面的文章中介绍过这个工具栏。WebSecurity可以检测大多数常见的web应用缺陷。这个工具可以容易的检测XSS，SQL注入和其它web应用缺陷。不像其它所列举的工具，websecurity完完全全是一个渗透测试工具。链接地址：https://addons.mozilla.org/en-us/firefox/addon/websecurify/
Add N Edit Cookies
Add N Edit
Cookies是一个cookie编辑插件，它允许你在浏览器中添加和编辑cookie数据。使用这个插件，你可以轻松的手动添加session
数据。这个工具可以在当你拥有活动的用户的session数据时执行session 劫持
攻击。编辑你的cookie添加数据并劫持该帐户。链接地址：https://addons.mozilla.org/en-US/firefox/addon/add-n-edit-cookies-13793/
跨站点脚本攻击是最常见的web应用缺陷。在一个web应用中检测XSS缺陷，这个插件应该是一个有用的工具。XSS&Me常常用于发现反射型的XSS缺陷。它扫描页面中所有的表单，然后在所选择的页面上使用预定义的XSS&Payloads执行攻击。在扫描完成以后，它会列出所有的页面，这些页面会显示payload.这些页面可能易受到XSS攻击。现在你可以手动测试web页面去发现XSS缺陷存在与否。链接地址：https://addons.mozilla.org/en-us/firefox/addon/xss-me/
SQL Inject Me
SQL Inject Me
也是一个不错的Firefox插件，常常被用于查找Web应用的SQL注入缺陷。这个工具不能利用缺陷，但是能够显示它是存在的。SQL注入是最具伤害的web应用缺陷之一，它孕育攻击者查看，更改，编辑，添加或删除数据库中的记录。这个工具向表单中发送一些未被过滤的字符串，然后尝试搜索数据库的错误信息。如果它发现数据库的错误信息，它就会标记该页面是易受攻击的页面。QA测试人员可以使用这个工具作为SQL注入的测试。链接地址：https://addons.mozilla.org/en-us/firefox/addon/sql-inject-me/
是另外一个有趣的插件。一旦安装到浏览器，它就会显示一个国旗用来告知web服务器的位置。它同时也包含其它功能，如：whois,WOT&scorecard 和 ping.
链接地址：https://addons.mozilla.org/en-us/firefox/addon/flagfox/
CrytoFox是一个加密和解密的工具。它支持绝大多数的加密算法。因此你可以轻易的使用支持的加密算法加密和解密数据。这个插件有字典攻击的支持，可以破解MD5的密码。虽然对它的评论不太好，但它的作用还是令人满意的。链接地址：https://addons.mozilla.org/en-US/firefox/addon/cryptofox/
Access Me是另外一个专业的安全测试插件。这个插件是由XSS Me 和SQL&Inject Me同一家公司开发的。该插件是用来测试web应用的访问缺陷的。这个工具是通过发送一些不同版本的页面请求来工作的。带有HTTP&HEAD的请求和由SECCOM组成的请求将会被发送。一个有session和HEAD/SECCOM的集合同样也会被发送。链接地址：https://addons.mozilla.org/en-US/firefox/addon/access-me/
SecurityFocus Vulnerabilities search plugin
该插件不是一个安全工具，而是一个搜索插件，让用户从Security&Focus的数据库来搜索相关的缺陷点。链接地址：https://addons.mozilla.org/en-us/firefox/addon/securityfocus-vulnerabilities-/
Packet Storm search
这是另外一个搜索插件，让用户从packetstormsecurity.org站点搜索工具和相关利用。这个站点提供最新的免费的安全工具，利用和公告。链接地址：https://addons.mozilla.org/en-us/firefox/addon/packet-storm-search-plugin/
Offset Exploit-db
这个插件和上面两个类似。它也是让用户从站点搜索缺陷和列举的利用。当然这个站点提供的东东也是最新。链接地址：https://addons.mozilla.org/en-us/firefox/addon/offsec-exploit-db-search/
Snort IDS Rule Search
这个插件也是一个搜索插件。用户可以利用这个插件从snort.org站点搜索Snort&IDS rules.
Snort是世界范围内部署最广泛的IDS/IPS技术。它是开源的网络入侵预防和检测系统，超过400000用户在使用该技术。链接地址：https://addons.mozilla.org/en-US/firefox/addon/snort-ids-rule-search/这里仅仅是一些你可以在web应用渗透测试中使用的插件。当然你不可能使用这些工具就可以完成你的渗透测试工作，但这些工具是相当有用的，可以减少你使用其它独立的工具。
译自：/use-firefox-browser-as-a-penetration-testing-tool-with-these-add-ons/
【编辑推荐】
【责任编辑： TEL：（010）】
关于&&&&的更多文章
Firefox OS本质上来讲是一个完全基于HTML5的系统，本专题我们将
虽然网购有诸多优点，越来越多的人热衷于此，但网购的安全性也逐渐凸显
Barracuda Networks Inc.（中译：博威特网络技术有限
云必将打破所有计算藩篱，让企业随时随地应用它，但它
你是否知道上网行为管理？您认为上网行为管理包括哪些
本书根据教育部考试中心2004年最新发布的《全国计算机等级考试大纲》编写，针对计算机等级考试三级网络技术各方面的考点进行讲解
51CTO旗下网站Firefox结合Foxyproxy翻墙【编程语言】,专业承接网页前端工作室,专业承接网页切图排版|html页面制作|jpg或psd转html,承接网站前端
时间： 来源：
Firefox结合Foxyproxy翻墙
【编程语言】
点击次数：1242
其它web前端开发资讯
web前端行业资讯Web new NewsList
我们保证We guarantee
> psd效果文件手工切图，保证图片效果最好体积最小利于传输
> 100%手写的HTML(DIV+CSS)编码，绝对符合W3C标准
> 代码精简、css沉余量小、搜索引擎扫描迅速，网页打开快捷
> 应用Css Sprite能够减少HTTP请求数，提高网页性能
> 跨浏览器兼容（IE6、7、8、9，Firefox火狐，Chrome谷歌）
一些合作过的客户推荐Firefox插件FoxyProxy（转）
这个就是对付GFW的不二法宝
我先用Torbutton,后用switchproxy,再后来，我用上了foxyproxy，三个FIREFOX插件的方便性是是一个比一个高。
访问互联网就像驾驶车子，需要根据路况不使用使用不同的档位，我认为：
Torbutton 需要手工换挡，只有一个档可换；
Switchproxy 可换多个档；
FoxyProxy 是多个档位中的自动档，可以用通配符或正则表达式来分析URL请求是否需要经过代理。
比如，我在foxyproxy模板中设定**
和**还有*zh.wikipedia.org"就可以自动选择通过或来访问这些网站。
而且是中文版的哦,应该很容易上手。
官方介绍：
FoxyProxy 是一个高级代理服务器管理工具。
它比 SwitchProxy、ProxyButton、QuickProxy、xyzproxy、ProxyTex
等扩展提供更多的功能：
* 通过使用通配符,正则表达式和其他方便的方式为任意 URLs 定义代理服务器
* 定义多个代理服务器
* 不再为不能查看到 URL 是否通过代理服务器加载而感到疑惑：FoxyProxy 包含一个关于全部 URLs
加载情况的日志，其中包括使用了哪一个代理服务器，匹配哪一个模版， 时间片的使用等详细信息。
* 只需简单单击一个按钮即可暂时或永久启用或禁用代理服务器
* 无需任何设置即可支持 Tor 中的 Out-of-the-box 功能
* 在状态栏显示当前代理服务器状态信息
* 完整的自动配置代理服务器 (PAC) 支持
* 灵活，稳健
* 及其它更多功能
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。33个非常好用的Firefox扩展插件下载
Firefox的魅力就在于它强大的拓展性。相比于IE、Chrome，乃至Opera，强大的插件支持是Firefox最大的优势。然而对于一个刚刚接触Firefox的人来说，找到适合自己的扩展很不容易。当然，你可以在Firefox的插件官网找到相关的推荐扩展（Recommend Extensions），但是仍有其不够完备的一面。
下面我结合自己几年的Firefox使用经验来推荐一些绝对实用的扩展，从它们中相信能找到符合每个人习惯的扩展。扩展排名不分先后，按字母顺序排列。
强大的广告过滤插件，在官网下载中国专用的Filter Pack后，基本所有网站的广告都能完全过滤掉，是Firefox必备的插件之一。
支付宝安全控件，使用它你就可以用Firefox登陆支付宝了！这个过去让人头疼无比的问题最近终于解决了。常常去淘宝购物的朋友必备插件。
将书签栏、下载栏、扩展栏等等内容完全放到浏览器左侧一个可设为自动隐藏的边栏中，是日常操作更加便捷。
Firefox的自动填表工具，以后在注册论坛、发表评论的时候就不需要重复输入个人信息了，只需一点ID、邮箱就全部填完。
可以自由设置将Firefox最小化或者关闭到系统托盘图标而不用关闭主程序，同时释放内存。还可以设置老板键一键最小化。对于开机后就基本不关浏览器的人来说非常方便。
对于本来就不大的现实屏幕，多出一行很不常用的菜单栏会很大程度缩小可以显示的页面内容。而CompactMenu可以将菜单栏用一个小小的按钮取代，并且可以放在导航栏、书签栏边上并隐藏菜单栏。原来我用的是TinyMenu，但是那个插件还需要将导航栏的内容挪到菜单栏再隐藏导航栏。相比之下这个插件无疑更优秀。
这个插件允许你用鼠标在多个Cookie之间切换。非常适用于在一个网站多用户同时默认登陆。比如你在百度有三个账号，用这个插件你就可以自由的在三个帐户之间切换而不用重新输入密码。非常推荐的一个拓展，就是设置功能还不太完善
对于经常使用Google服务的人来说绝对不能错过，提供了大量的Google服务的个性设置，基本涵盖了所有Google服务。
现在这类的Firefox插件特别多，甚至连FlashGot都加入了这个功能，但我认为这个插件是最好的。下载速度不错，可以从缓存中直接调取，同时还有视频网站推荐功能。（其中包含很多……类的视频网站，而且特殊标识）
每次下载都弹出Firefox内建的下载窗口是不是很烦呢？这个插件将下载窗口集成到了状态栏上方。可以方便的看到下载进度而不需要点开其它窗口，非常推荐！
习惯超级拖拽的朋友一定会需要这个插件，拖拽搜索功能，不需要多介绍了吧？
在打开网页时可以看到加载的速度、图片总数等等内容。两种可选的显示方式，很实用。
很多网站没有自己的图标，当你把它存为书签是就是很难看的文本图标，而这个工具可以让你自由选择图片当作书签的图标。
强大的备份插件、书签的工具，可以定时备份，这样在重装系统的时候就可以最快速度的恢复重装之前的样子。当然，个人觉得Mozbackup是最好的备份工具，因为你只需一点就可以恢复原状而不是像FEBE一样仅仅倒出插件的安装文件而需要手动一个个恢复。但是那不是插件，而是单独的软件。想试试的朋友可以点击。
通过这个插件可以方便的从常见的网盘（如box等）上传和下载数据，非常推荐给常用网盘的朋友。
鼠标手势是比拖拽搜索更深入人心的快捷操作方式，习惯鼠标手势的一定要试试，而且这个插件的可性非常强大
网页中过多的Flash会极大的延缓页面打开的时间，而通常我们想要的Flash只有几个而已，这个插件会自动过滤掉Flash替换成箭头，想要运行某个Flash只需在上面轻轻一点，非常推荐！
基本无需多言，FlashGot是Firefox必备的插件之一，用来下载网页内的全部链接，调用外部下载工具如迅雷等等。
个人认为必备的插件，可以在线同步书签、密码。尤其对于有多台电脑或多系统的用户，这个插件极大的方便了Firefox的使用。Firefox官方的Wave也可以完成类似功能，但仍在测试中，为正式发布。
非常强大的代理管理工具，可以设置切换代理，设置过滤名单等等功能。基本涵盖了所有Firefox代理工具的功能，也因此有些难于上手。
Gmail用户必备，可以直接管理邮箱、提示新邮件等等功能。如果你是其他的邮箱或有多个邮箱，可以尝试WebMail Notifier
Google Reader用户必备，用来在状态栏添加Google Reader未读订阅的数目的提醒，点击即可进入Google Reader，非常实用。
想必Google用户都知道Google Toolbar强大的功能吧，这里无需赘述。
通过向网页内添加一些Java脚本，Greasemonkey使你在每次访问相应页面的时候改变它的功能和外观，从而得到更好的服务体验。网络上有上千个可供你选择的Greasemonkey脚本，你几乎可以定制所有你能想到的功能。在它们之中有一些脚本是非常有用和流行的。Firefox用户绝对必备的插件，它使Firefox的功能呈指数增长！
又是一个Firefox必备的扩展。在很多网页设计上不符合标准的今天，必然会遇到必须使用IE才能正确显示和使用的网页。尤其是网银。而每次都打开IE是不是很费事呢？IE Tab让你一键将当前页面或链接在Firefox内直接调用IE内核打开。同时可设定某些固定网页始终用IE打开。非常实用！
用来纠正网页中不规范的媒体，从而能够正常播放。不得不用的一个插件。
可以自定义菜单栏的插件，去掉不常用的，把自己常用的放在最上方。能很大程度提高使用感受。
前面说到的FoxyProxy功能过于强大，而很多时候我们仅仅需要在代理和无代理之间切换而已，那么QuickProxy就是你最好的选择。
很多时候页面内的图片无法显示，这时你就需要右键点击“Show Picture”来显示图片，很实用。
快速拨号是Opera最早实现的功能，打开一个新页面即可在多个常用的网址中选择，非常方便的功能。现在Firefox也可以通过这个插件实现了。
非常非常强大的浏览器标签设置工具。可以改变书签的外观、操作，比如双击关闭标签、地址栏强制在新标签页中打开、在标签上显示进度条等等。还带有崩溃恢复等功能，总之是Firefox必备的插件之一，设置项目非常多，仔细研究一下Firefox就像是专门为你设计的浏览器！
为什么要推荐这个插件呢？因为Tab Mix Plus的功能太强大，需要设置的太多，而这个插件功能相对就少了很多，但却包含了必要的大部分功能，所以用这个插件代替也是很好的选择。在Tab Mix Plus为更新兼容3.0之前我就一直在使用这个插件。
向浏览器中添加非常多的定制按钮。可完成更多的功能，比如打开刚刚关闭的标签，一键更新，Yahoo、Gmail按钮等等非常多的功能。
上述扩展基本都是本着增强使用体验的出发点而推荐的，所以其中不包括一些也很常用的美化、个性化Firefox的插件，比如Colorful Tabs，Cooliris，FlagFox，TimaTracker等等。相信上述插件一定可以给你带来更好的Firefox体验，让你一天也不想多用 IE。
赞助商链接: